Vua lì đòn CVE-2025-59287 thách thức Microsoft phải “vá chồng vá”

[WhiteHat Team]

Một lỗ hổng tưởng chừng đã được vá trong Windows Server Update Services (WSUS) vào Patch Tuesday ngày 14/10/2025 lại khiến Microsoft phải tung thêm bản vá khẩn chỉ sau 9 ngày. CVE-2025-59287 đang được giới an ninh mạng gọi là “vua lì đòn” vì liên tục thách thức các bản cập nhật và thực tế đã bị khai thác.

Lỗ hổng nguy hiểm đến mức nào?​

CVE-2025-59287 là lỗi thực thi mã từ xa (RCE) với điểm CVSS 9,8, ảnh hưởng trực tiếp đến WSUS - nền tảng quản lý bản vá nội bộ của Windows.

Nguyên nhân xuất phát từ cách WSUS xử lý dữ liệu cookie gửi đến hàm GetCookie() không an toàn. Hacker chỉ cần gửi một gói dữ liệu được tùy chỉnh, hệ thống sẽ giải mã và đọc nội dung đó bằng công cụ cũ có tên BinaryFormatter. Đây là công cụ chuẩn trong nền tảng lập trình Windows cũ nhưng đã bị Microsoft loại bỏ từ năm 2024 vì lý do bảo mật hoặc dễ bị lợi dụng để thực thi mã độc.

Kết quả là kẻ tấn công không cần đăng nhập vẫn có thể khiến máy chủ WSUS chạy mã tùy ý với quyền SYSTEM, tức chiếm toàn quyền kiểm soát máy chủ.

Vì sao được gọi là “vua lì đòn”?​

Chuỗi sự kiện cho thấy đây không phải lỗ hổng bình thường:

• Patch Tuesday (14/10/2025): Microsoft đã phát hành bản vá đầu tiên. Tuy nhiên, nhiều chuyên gia nhận thấy lỗi vẫn có thể bị khai thác bằng chuỗi payload khác.
• Out-Of-Band (23/10/2025): Microsoft buộc phải tung bản vá khẩn cấp ngoài lịch nhằm “tạm thời vô hiệu hóa chức năng dễ bị tấn công”. Đây là dấu hiệu rõ ràng cho thấy bản vá ban đầu chưa triệt để.
• Khai thác thực tế: Chỉ một ngày sau bản vá khẩn cấp ngoài lịch, các tổ chức như Huntress, Eye Security, Sophos, Unit42 và CISA đều ghi nhận hoạt động khai thác hàng loạt. Nhiều máy chủ WSUS bị quét và chiếm quyền điều khiển.

Điều này phản ánh sự “rượt đuổi” giữa hacker và bản vá, trong đó dường như kẻ tấn công luôn đi trước một bước để thử các hướng tấn công bị bỏ sót.

Hậu quả nếu chần chừ cập nhật​

Sự chậm trễ trong việc vá lỗ hổng có thể dẫn đến chuỗi tấn công nghiêm trọng.

Theo nghiên cứu của các chuyên gia WhiteHat, hacker có thể chiếm quyền hệ thống trên WSUS như cài backdoor, chạy lệnh PowerShell, đánh cắp dữ liệu và mở rộng kiểm soát sang các máy khác trong mạng.

Đáng chú ý, vì WSUS chịu trách nhiệm phân phối bản vá, một server bị chiếm có thể trở thành trung tâm phát tán bản vá độc hại tới nhiều endpoint, gây rò rỉ dữ liệu hoặc gián đoạn nghiêm trọng dịch vụ cập nhật.

Khai thác diễn ra qua một yêu cầu HTTP khá đơn giản và đã có PoC công khai, do đó những WSUS phơi nhiễm ra Internet (cổng quản lý/đồng bộ như TCP 8530/8531 có thể truy cập từ bên ngoài) hoặc những WSUS trong mạng nội bộ chưa được vá rất dễ trở thành mục tiêu.

Bài học rút ra không chỉ là “vá nhanh”, mà phải “vá đúng và vá đủ”, tránh việc phát hành nửa vời dẫn đến chuỗi khai thác nối tiếp. Cho đến thời điểm hiện tại, Việt Nam may mắn chưa ghi nhận trường hợp nào bị khai thác, tuy nhiên đây không phải lý do để chủ quan.

Các tổ chức cần thực hiện ngay các bước sau để tránh trở thành nạn nhân tiếp theo:

1. Cập nhật bản vá Out-Of-Band (23/10/2025) trên toàn bộ máy chủ WSUS và khởi động lại hệ thống tại đây. Giám sát chủ động và tuân thủ khuyến cáo của CISA/NSA.
2. Nếu chưa thể vá, hãy tạm vô hiệu hóa WSUS Server hoặc chặn cổng TCP 8530/8531 ở tường lửa.
3. Rà soát dấu hiệu tấn công, kiểm tra các tiến trình con bất thường của wsusservice.exe hoặc w3wp.exe, tìm lệnh PowerShell mã hóa Base64, kết nối lạ tới webhook[.]site.
4. Tăng cường phòng thủ: bật EDR, AMSI, AppLocker, giám sát log chặt chẽ và giới hạn truy cập WSUS chỉ cho IP quản trị cố định.
5. Nếu nghi ngờ bị xâm nhập, hãy cô lập hệ thống, tiến hành forensics, liên hệ đội ứng cứu hoặc nhà cung cấp an ninh.

Một bản vá chưa chắc đã đủ an toàn, CVE-2025-59287 là minh chứng điển hình cho sự “lì đòn” của các lỗ hổng hiện đại. Khi lỗ hổng đã bị khai thác thực tế, chậm một ngày có thể trả giá bằng cả hệ thống.

WhiteHat​