-
09/04/2020
-
141
-
2.023 bài viết
Windows xuất hiện kỹ thuật mới vượt bản vá, chiếm quyền SYSTEM chỉ trong vài bước
Một kỹ thuật mới có thể vượt qua bản vá của Microsoft đối với lỗ hổng CVE-2025-33073, qua đó cho phép chiếm quyền NT AUTHORITY\SYSTEM trên các hệ thống Windows đã được cập nhật đầy đủ.
Kỹ thuật này lại không khai thác một lỗ hổng hoàn toàn mới mà tận dụng chính điểm yếu còn sót lại trong cơ chế xác thực của Windows. Phương pháp tấn công đã được Microsoft gán mã CVE-2026-24294 và phát hành bản vá vào tháng 3/2026. Tuy nhiên, nghiên cứu của Synacktiv một lần nữa cho thấy việc chỉ vá phần biểu hiện của lỗ hổng mà không xử lý nguyên nhân gốc rễ có thể tạo điều kiện để các kỹ thuật khai thác mới nhanh chóng xuất hiện.
Lỗ hổng CVE-2025-33073 là gì?
CVE-2025-33073 là lỗ hổng Authentication Reflection trong Windows, được Microsoft vá vào năm 2025. Bản chất của lỗ hổng nằm ở việc kẻ tấn công có thể buộc một dịch vụ có đặc quyền cao trên Windows tự gửi yêu cầu xác thực đến một máy chủ do chúng kiểm soát. Sau đó, thông tin xác thực này được chuyển tiếp (relay) ngược trở lại chính máy tính nạn nhân để đăng nhập với quyền cao hơn.
Nếu khai thác thành công, tin tặc có thể leo thang đặc quyền và chiếm quyền NT AUTHORITY\SYSTEM – mức đặc quyền cao nhất trên Windows, cho phép kiểm soát hoàn toàn hệ điều hành.
Nếu khai thác thành công, tin tặc có thể leo thang đặc quyền và chiếm quyền NT AUTHORITY\SYSTEM – mức đặc quyền cao nhất trên Windows, cho phép kiểm soát hoàn toàn hệ điều hành.
Nguyên nhân của lỗ hổng nằm ở đâu?
Theo Synacktiv, vấn đề xuất phát từ cơ chế CredMarshalTargetInfo (CMTI) trong Windows. Đây là cơ chế cho phép Windows chèn thêm thông tin nhận dạng của máy chủ vào tên đích khi thực hiện xác thực NTLM hoặc Kerberos. Trong quá trình xử lý, tiến trình LSASS sẽ loại bỏ phần thông tin bổ sung này trước khi tạo gói xác thực.
Chính sự khác biệt giữa tên máy chủ ban đầu và tên được LSASS xử lý đã tạo ra cơ hội để tin tặc đánh lừa hệ thống, khiến Windows xác thực tới một máy chủ giả mạo nhưng lại coi đó là máy chủ hợp lệ.
Nói đơn giản, Windows "nhìn thấy" một địa chỉ, nhưng khi tạo thông tin xác thực lại "tin rằng" đang kết nối tới một địa chỉ khác. Sự không thống nhất này là nền tảng của kỹ thuật Authentication Reflection.
Chính sự khác biệt giữa tên máy chủ ban đầu và tên được LSASS xử lý đã tạo ra cơ hội để tin tặc đánh lừa hệ thống, khiến Windows xác thực tới một máy chủ giả mạo nhưng lại coi đó là máy chủ hợp lệ.
Nói đơn giản, Windows "nhìn thấy" một địa chỉ, nhưng khi tạo thông tin xác thực lại "tin rằng" đang kết nối tới một địa chỉ khác. Sự không thống nhất này là nền tảng của kỹ thuật Authentication Reflection.
Microsoft đã vá như thế nào?
Sau khi CVE-2025-33073 được công bố, Microsoft đã sửa lỗi bằng cách cập nhật trình điều khiển SMB (mrxsmb.sys). Bản vá này chặn các kết nối SMB chứa thông tin CMTI được nhúng trong tên máy chủ, qua đó ngăn chặn kỹ thuật khai thác ban đầu.
Tuy nhiên, theo Synacktiv, đây chỉ là giải pháp xử lý biểu hiện của lỗ hổng thay vì nguyên nhân gốc rễ. Nhóm nghiên cứu nhận định rằng bản vá chỉ tập trung vào giao thức SMB truyền thống, trong khi cơ chế xác thực của Windows vẫn tồn tại những con đường khác có thể bị lợi dụng.
Tuy nhiên, theo Synacktiv, đây chỉ là giải pháp xử lý biểu hiện của lỗ hổng thay vì nguyên nhân gốc rễ. Nhóm nghiên cứu nhận định rằng bản vá chỉ tập trung vào giao thức SMB truyền thống, trong khi cơ chế xác thực của Windows vẫn tồn tại những con đường khác có thể bị lợi dụng.
Các nhà nghiên cứu đã vượt qua bản vá như thế nào?
Sau khi phân tích phạm vi của bản vá, Synacktiv lần lượt đánh giá nhiều giao thức khác nhau. Các giao thức như RPC/DCOM hay HTTP thông qua WebDAV đều không đáp ứng điều kiện khai thác do đã được Microsoft bổ sung các cơ chế bảo vệ trong các phiên bản Windows mới.
Bước ngoặt xuất hiện khi nhóm nghiên cứu phát hiện một tính năng mới trên Windows 11 24H2 và Windows Server 2025. Các phiên bản này cho phép kết nối tới chia sẻ SMB thông qua các cổng TCP tùy ý, thay vì chỉ sử dụng cổng mặc định 445. Đây là tính năng phục vụ khả năng linh hoạt trong triển khai, nhưng đồng thời cũng mở ra một hướng khai thác mới.
Bước ngoặt xuất hiện khi nhóm nghiên cứu phát hiện một tính năng mới trên Windows 11 24H2 và Windows Server 2025. Các phiên bản này cho phép kết nối tới chia sẻ SMB thông qua các cổng TCP tùy ý, thay vì chỉ sử dụng cổng mặc định 445. Đây là tính năng phục vụ khả năng linh hoạt trong triển khai, nhưng đồng thời cũng mở ra một hướng khai thác mới.
Quá trình khai thác diễn ra như thế nào?
Chuỗi tấn công được Synacktiv xây dựng diễn ra theo nhiều bước liên tiếp. Đầu tiên, kẻ tấn công khởi tạo một máy chủ SMB giả mạo trên một cổng TCP tùy chỉnh, ví dụ cổng 12345, rồi thiết lập kết nối bằng tài khoản người dùng thông thường.
Sau đó, chúng sử dụng các công cụ như PetitPotam để buộc tiến trình LSASS trên máy nạn nhân thực hiện xác thực tới cùng đường dẫn SMB đó.
Do Windows có cơ chế tái sử dụng kết nối SMB đã tồn tại, thông tin xác thực của tiến trình LSASS sẽ được gửi qua chính kết nối do kẻ tấn công kiểm soát.
Tiếp theo, bằng công cụ ntlmrelayx thuộc bộ Impacket, kẻ tấn công chuyển tiếp (relay) thông tin xác thực này tới dịch vụ SMB thật của máy nạn nhân. Kết quả cuối cùng là chúng có được một phiên đăng nhập SMB hợp lệ với quyền NT AUTHORITY\SYSTEM, từ đó kiểm soát hoàn toàn hệ thống.
Trong quá trình thử nghiệm, Synacktiv sử dụng kết hợp các công cụ smbserver.py, ntlmrelayx.py và phiên bản chỉnh sửa của PetitPotam để chứng minh chuỗi khai thác hoạt động.
Sau đó, chúng sử dụng các công cụ như PetitPotam để buộc tiến trình LSASS trên máy nạn nhân thực hiện xác thực tới cùng đường dẫn SMB đó.
Do Windows có cơ chế tái sử dụng kết nối SMB đã tồn tại, thông tin xác thực của tiến trình LSASS sẽ được gửi qua chính kết nối do kẻ tấn công kiểm soát.
Tiếp theo, bằng công cụ ntlmrelayx thuộc bộ Impacket, kẻ tấn công chuyển tiếp (relay) thông tin xác thực này tới dịch vụ SMB thật của máy nạn nhân. Kết quả cuối cùng là chúng có được một phiên đăng nhập SMB hợp lệ với quyền NT AUTHORITY\SYSTEM, từ đó kiểm soát hoàn toàn hệ thống.
Trong quá trình thử nghiệm, Synacktiv sử dụng kết hợp các công cụ smbserver.py, ntlmrelayx.py và phiên bản chỉnh sửa của PetitPotam để chứng minh chuỗi khai thác hoạt động.
Mức độ ảnh hưởng ra sao?
Lỗ hổng vượt qua bản vá này được Microsoft gán mã CVE-2026-24294 và đã được khắc phục trong đợt cập nhật Patch Tuesday tháng 3/2026.
Theo Synacktiv, kỹ thuật leo thang đặc quyền hoạt động theo mặc định trên Windows Server 2025. Đối với Windows 11 24H2, cơ chế SMB Signing được bật mặc định đã ngăn chặn kịch bản leo thang đặc quyền cục bộ này.
Tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng điều này không có nghĩa vấn đề đã hoàn toàn được giải quyết.
Theo Synacktiv, kỹ thuật leo thang đặc quyền hoạt động theo mặc định trên Windows Server 2025. Đối với Windows 11 24H2, cơ chế SMB Signing được bật mặc định đã ngăn chặn kịch bản leo thang đặc quyền cục bộ này.
Tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng điều này không có nghĩa vấn đề đã hoàn toàn được giải quyết.
Điều đáng lo ngại hơn: Nguyên nhân gốc rễ vẫn tồn tại
Theo Synacktiv, nghiên cứu lần này xác nhận giả thuyết rằng bản vá của Microsoft đối với CVE-2025-33073 chưa xử lý triệt để nguyên nhân gốc rễ. Khả năng chuyển tiếp (relay) các phiên xác thực nội bộ vẫn tồn tại trong một số trường hợp và tiếp tục tạo điều kiện cho các kỹ thuật leo thang đặc quyền mới.
Ngoài ra, nhóm nghiên cứu cũng cho biết đã xác định thêm một hướng tấn công khác liên quan đến Kerberos Authentication Reflection thông qua việc kiểm soát bản ghi DNS.
Kỹ thuật này thậm chí có thể mở đường cho việc thực thi mã từ xa (RCE) đối với tài khoản người dùng trong môi trường Active Directory, cho thấy bề mặt tấn công của cơ chế xác thực Windows vẫn còn nhiều vấn đề cần được nghiên cứu.
Ngoài ra, nhóm nghiên cứu cũng cho biết đã xác định thêm một hướng tấn công khác liên quan đến Kerberos Authentication Reflection thông qua việc kiểm soát bản ghi DNS.
Kỹ thuật này thậm chí có thể mở đường cho việc thực thi mã từ xa (RCE) đối với tài khoản người dùng trong môi trường Active Directory, cho thấy bề mặt tấn công của cơ chế xác thực Windows vẫn còn nhiều vấn đề cần được nghiên cứu.
Đã có bản vá hay chưa?
Microsoft đã phát hành bản vá cho CVE-2026-24294 trong đợt Patch Tuesday tháng 3/2026. Các tổ chức sử dụng Windows Server 2025 và Windows 11 cần đảm bảo hệ thống đã được cập nhật đầy đủ các bản vá bảo mật mới nhất.
Bên cạnh đó, người dùng cũng cần lưu ý thêm:
Bên cạnh đó, người dùng cũng cần lưu ý thêm:
- Triển khai đầy đủ các bản cập nhật bảo mật của Microsoft, đặc biệt các bản vá phát hành sau tháng 3/2026.
- Bật và duy trì SMB Signing trên các hệ thống hỗ trợ nhằm giảm nguy cơ bị relay xác thực.
- Hạn chế các dịch vụ hoặc tài khoản có đặc quyền cao thực hiện kết nối SMB không cần thiết.
- Theo dõi các hoạt động bất thường liên quan đến NTLM Relay, Kerberos Relay và các công cụ như PetitPotam trong môi trường Active Directory.
- Tăng cường giám sát các kết nối SMB sử dụng cổng TCP không mặc định để phát hiện dấu hiệu khai thác.