-
09/04/2020
-
99
-
859 bài viết
Lỗ hổng nghiêm trọng trên Acer Control Center cho phép thực thi mã từ xa
Acer vừa phát hành bản cập nhật phần mềm Control Center nhằm khắc phục một lỗ hổng bảo mật nghiêm trọng có mã định danh là CVE-2025-5491. Lỗ hổng có thể bị lợi dụng để thực thi mã tùy ý với quyền cao nhất trên hệ điều hành Windows.
CVE-2025-5491 được cho là bắt nguồn từ lỗi cấu hình sai quyền truy cập trong cơ chế Windows Named Pipe của dịch vụ ACCSvc.exe, thành phần quan trọng trong phần mềm Acer Control Center. Named Pipe là cơ chế giao tiếp giữa các tiến trình trong Windows. Tuy nhiên, do được cấu hình với quyền truy cập quá rộng, Named Pipe trong ACCSvc.exe cho phép các kết nối từ xa không xác thực truy cập và tương tác trực tiếp với các chức năng hệ thống.
ACCSvc.exe sử dụng Named Pipe để giao tiếp nội bộ thông qua một giao thức tùy chỉnh, tuy nhiên lại không triển khai bất kỳ cơ chế xác thực nào. Điều này khiến dịch vụ chấp nhận và xử lý mọi yêu cầu kết nối, kể cả từ tiến trình không đáng tin cậy hoặc từ xa như thể đó là thành phần hợp lệ của hệ thống.
Kẻ tấn công có thể khai thác điểm yếu này để gửi lệnh yêu cầu thực thi các tệp tùy ý với quyền NT AUTHORITY\SYSTEM. Với đặc quyền cao nhất trên hệ điều hành Windows, việc này cho phép chiếm toàn quyền kiểm soát thiết bị: cài mã độc, đánh cắp dữ liệu, thay đổi cấu hình và duy trì truy cập lâu dài mà không bị phát hiện.
Do không cần thông tin xác thực và cũng không đòi hỏi tương tác người dùng, lỗ hổng này thực chất tạo ra một “cửa hậu đặc quyền” (privileged backdoor) có thể bị khai thác hoàn toàn từ xa.
CVE-2025-5491 ảnh hưởng đến toàn bộ danh mục sản phẩm của Acer đang cài đặt Control Center, bao gồm laptop, desktop và các thiết bị điện toán khác. Đặc biệt trong môi trường doanh nghiệp, nếu nhiều thiết bị Acer được triển khai, nguy cơ bị khai thác tự động ở quy mô lớn là rất cao.
Do tính chất từ xa của phương thức khai thác, kẻ tấn công không cần quyền truy cập vật lý hay thông tin xác thực để kích hoạt lỗ hổng. Chỉ cần thiết bị đang kết nối mạng và chạy phần mềm Control Center chưa được cập nhật, toàn bộ hệ thống có thể bị xâm phạm thông qua một cuộc tấn công mạng.
Acer đã khuyến nghị người dùng ngay lập tức truy cập trang tải về chính thức của hãng để cập nhật Control Center lên phiên bản mới nhất. Bản vá được cho là đã siết chặt quyền truy cập Named Pipe và bổ sung cơ chế xác thực cần thiết cho các kết nối dịch vụ.
Ngoài việc cập nhật phần mềm, các quản trị viên hệ thống cũng nên triển khai các biện pháp bổ sung như phân đoạn mạng và giám sát các hoạt động bất thường liên quan đến Named Pipe, để giảm thiểu rủi ro trong khi chờ bản vá được áp dụng rộng rãi.
Sự cố lần này cho thấy tầm quan trọng sống còn của việc kiểm soát quyền truy cập và xác thực trong các dịch vụ hệ thống Windows, đặc biệt là khi các nhà phát triển sử dụng giao thức tùy chỉnh. Việc đánh đổi giữa tính năng và bảo mật, nếu không được kiểm soát chặt chẽ, có thể mở ra cánh cửa cho những rủi ro nghiêm trọng.
CVE-2025-5491 được cho là bắt nguồn từ lỗi cấu hình sai quyền truy cập trong cơ chế Windows Named Pipe của dịch vụ ACCSvc.exe, thành phần quan trọng trong phần mềm Acer Control Center. Named Pipe là cơ chế giao tiếp giữa các tiến trình trong Windows. Tuy nhiên, do được cấu hình với quyền truy cập quá rộng, Named Pipe trong ACCSvc.exe cho phép các kết nối từ xa không xác thực truy cập và tương tác trực tiếp với các chức năng hệ thống.
ACCSvc.exe sử dụng Named Pipe để giao tiếp nội bộ thông qua một giao thức tùy chỉnh, tuy nhiên lại không triển khai bất kỳ cơ chế xác thực nào. Điều này khiến dịch vụ chấp nhận và xử lý mọi yêu cầu kết nối, kể cả từ tiến trình không đáng tin cậy hoặc từ xa như thể đó là thành phần hợp lệ của hệ thống.
Kẻ tấn công có thể khai thác điểm yếu này để gửi lệnh yêu cầu thực thi các tệp tùy ý với quyền NT AUTHORITY\SYSTEM. Với đặc quyền cao nhất trên hệ điều hành Windows, việc này cho phép chiếm toàn quyền kiểm soát thiết bị: cài mã độc, đánh cắp dữ liệu, thay đổi cấu hình và duy trì truy cập lâu dài mà không bị phát hiện.
Do không cần thông tin xác thực và cũng không đòi hỏi tương tác người dùng, lỗ hổng này thực chất tạo ra một “cửa hậu đặc quyền” (privileged backdoor) có thể bị khai thác hoàn toàn từ xa.
CVE-2025-5491 ảnh hưởng đến toàn bộ danh mục sản phẩm của Acer đang cài đặt Control Center, bao gồm laptop, desktop và các thiết bị điện toán khác. Đặc biệt trong môi trường doanh nghiệp, nếu nhiều thiết bị Acer được triển khai, nguy cơ bị khai thác tự động ở quy mô lớn là rất cao.
Do tính chất từ xa của phương thức khai thác, kẻ tấn công không cần quyền truy cập vật lý hay thông tin xác thực để kích hoạt lỗ hổng. Chỉ cần thiết bị đang kết nối mạng và chạy phần mềm Control Center chưa được cập nhật, toàn bộ hệ thống có thể bị xâm phạm thông qua một cuộc tấn công mạng.
Acer đã khuyến nghị người dùng ngay lập tức truy cập trang tải về chính thức của hãng để cập nhật Control Center lên phiên bản mới nhất. Bản vá được cho là đã siết chặt quyền truy cập Named Pipe và bổ sung cơ chế xác thực cần thiết cho các kết nối dịch vụ.
Ngoài việc cập nhật phần mềm, các quản trị viên hệ thống cũng nên triển khai các biện pháp bổ sung như phân đoạn mạng và giám sát các hoạt động bất thường liên quan đến Named Pipe, để giảm thiểu rủi ro trong khi chờ bản vá được áp dụng rộng rãi.
Sự cố lần này cho thấy tầm quan trọng sống còn của việc kiểm soát quyền truy cập và xác thực trong các dịch vụ hệ thống Windows, đặc biệt là khi các nhà phát triển sử dụng giao thức tùy chỉnh. Việc đánh đổi giữa tính năng và bảo mật, nếu không được kiểm soát chặt chẽ, có thể mở ra cánh cửa cho những rủi ro nghiêm trọng.
Theo Cyber Press