-
09/04/2020
-
122
-
1.263 bài viết
Lỗ hổng trong Microsoft SQL Server cho phép chiếm quyền quản trị trên nhiều phiên bản
Microsoft vừa phát hành bản vá bảo mật khẩn cấp để xử lý lỗ hổng trong Microsoft SQL Server, được định danh là CVE-2025-59499. Lỗ hổng này được đánh giá mức độ nguy hiểm cao (CVSS 8,8) và ảnh hưởng đến hầu hết các phiên bản phổ biến như SQL Server 2022, 2019, 2017 và 2016.
Theo Microsoft, điểm yếu xuất phát từ việc xử lý sai các ký tự đặc biệt trong câu lệnh SQL – một lỗi thường được gọi là SQL Injection (theo phân loại CWE-89).
Thông thường, SQL Server sẽ kiểm tra kỹ đầu vào để ngăn hacker chèn lệnh nguy hiểm. Tuy nhiên, trong trường hợp này, kẻ tấn công chỉ cần có quyền truy cập mức thấp, ví dụ như người dùng nội bộ hoặc tài khoản có quyền hạn hạn chế, tạo một tên cơ sở dữ liệu (database) chứa ký tự đặc biệt điều khiển lệnh SQL.
Khi hệ thống xử lý tên này, các đoạn lệnh SQL độc hại có thể được thực thi ngoài ý muốn, cho phép hacker chạy mã T-SQL tùy ý. Nếu tiến trình này đang hoạt động dưới tài khoản có quyền cao như sysadmin, kẻ tấn công có thể chiếm toàn quyền kiểm soát máy chủ cơ sở dữ liệu, tương đương việc nắm toàn bộ dữ liệu, quyền chỉnh sửa, xoá hoặc cài cắm mã độc.
Điều đáng lo ngại là cuộc tấn công có thể diễn ra từ xa, không cần tương tác người dùng, nghĩa là chỉ cần hệ thống chưa vá lỗi và kết nối mạng mở, hacker có thể khai thác. Microsoft xác nhận lỗ hổng này ảnh hưởng đồng thời đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống, ba yếu tố cốt lõi trong an ninh mạng.
Mặc dù hiện chưa ghi nhận trường hợp khai thác thực tế, nguy cơ bị lạm dụng trong tương lai là hoàn toàn có thể, đặc biệt khi mã khai thác (PoC) bị rò rỉ hoặc được chia sẻ công khai.
Microsoft đã phát hành các gói cập nhật vá lỗi thông qua cả hai kênh:
Theo Microsoft, điểm yếu xuất phát từ việc xử lý sai các ký tự đặc biệt trong câu lệnh SQL – một lỗi thường được gọi là SQL Injection (theo phân loại CWE-89).
Thông thường, SQL Server sẽ kiểm tra kỹ đầu vào để ngăn hacker chèn lệnh nguy hiểm. Tuy nhiên, trong trường hợp này, kẻ tấn công chỉ cần có quyền truy cập mức thấp, ví dụ như người dùng nội bộ hoặc tài khoản có quyền hạn hạn chế, tạo một tên cơ sở dữ liệu (database) chứa ký tự đặc biệt điều khiển lệnh SQL.
Khi hệ thống xử lý tên này, các đoạn lệnh SQL độc hại có thể được thực thi ngoài ý muốn, cho phép hacker chạy mã T-SQL tùy ý. Nếu tiến trình này đang hoạt động dưới tài khoản có quyền cao như sysadmin, kẻ tấn công có thể chiếm toàn quyền kiểm soát máy chủ cơ sở dữ liệu, tương đương việc nắm toàn bộ dữ liệu, quyền chỉnh sửa, xoá hoặc cài cắm mã độc.
Điều đáng lo ngại là cuộc tấn công có thể diễn ra từ xa, không cần tương tác người dùng, nghĩa là chỉ cần hệ thống chưa vá lỗi và kết nối mạng mở, hacker có thể khai thác. Microsoft xác nhận lỗ hổng này ảnh hưởng đồng thời đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống, ba yếu tố cốt lõi trong an ninh mạng.
Mặc dù hiện chưa ghi nhận trường hợp khai thác thực tế, nguy cơ bị lạm dụng trong tương lai là hoàn toàn có thể, đặc biệt khi mã khai thác (PoC) bị rò rỉ hoặc được chia sẻ công khai.
Microsoft đã phát hành các gói cập nhật vá lỗi thông qua cả hai kênh:
- GDR (General Distribution Release) cho các bản cập nhật bảo mật độc lập.
- CU (Cumulative Update) cho những hệ thống đã cập nhật định kỳ.
- SQL Server 2022: KB 5068406
- SQL Server 2019: KB 5068404
- SQL Server 2017: KB 5068402
- Xác định rõ phiên bản SQL Server hiện tại để chọn đúng bản vá (GDR hoặc CU).
- Cập nhật ngay lập tức các máy chủ đang hoạt động, kể cả trên nền tảng Azure IaaS.
- Giới hạn quyền người dùng nội bộ và không cấp quyền quản trị cho các tài khoản không cần thiết.
- Theo dõi log truy cập SQL để phát hiện các câu lệnh bất thường có chứa ký tự điều khiển.
WhiteHat