VietNetwork.Vn

Hôm thứ Ba, Microsoft đã phát hành bản sửa lỗi cho 183 lỗ hổng bảo mật trên các sản phẩm của mình, bao gồm ba lỗ hổng đang bị khai thác một cách tích cực, khi gã khổng lồ công nghệ chính thức chấm dứt hỗ trợ cho hệ điều hành Windows 10 trừ khi các PC được đăng ký chương trình Cập nhật bảo mật mở rộng (ESU).

Trong số 183 lỗ hổng, tám lỗ hổng là các mã CVE không do Microsoft phát hành. Có tới 165 lỗ hổng được đánh giá là Quan trọng về mức độ nghiêm trọng, tiếp theo là 17 lỗ hổng Nghiêm trọng và một lỗ hổng Trung bình. Phần lớn trong số chúng liên quan đến các lỗ hổng nâng cao đặc quyền (84), với các lỗ hổng thực thi mã từ xa (33), tiết lộ thông tin (28), giả mạo (14), từ chối dịch vụ (11) và bỏ qua tính năng bảo mật (11) chiếm phần lớn số lỗ hổng còn lại.


Các bản cập nhật này bổ sung vào 25 lỗ hổng bảo mật mà Microsoft đã giải quyết trong trình duyệt Edge dựa trên Chromium kể từ khi phát hành bản cập nhật Patch Tuesday vào tháng 9 năm 2025.

Hai lỗ hổng zero-day của Windows đang bị khai thác tích cực như sau:

    CVE-2025-24990 (Điểm CVSS: 7.8) - Lỗ hổng nâng cao đặc quyền của trình điều khiển modem Agere của Windows ("ltmdm64.sys")
    CVE-2025-59230 (Điểm CVSS: 7,8) - Lỗ hổng nâng cao đặc quyền của Windows Remote Access Connection Manager (RasMan)

Microsoft cho biết cả hai lỗ hổng đều có thể cho phép kẻ tấn công thực thi mã với đặc quyền cao hơn, mặc dù hiện tại chưa có dấu hiệu nào cho thấy chúng bị khai thác như thế nào và mức độ lan rộng của những lỗ hổng này. Trong trường hợp CVE-2025-24990, công ty cho biết họ đang có kế hoạch xóa hoàn toàn trình điều khiển, thay vì phát hành bản vá cho một thành phần bên thứ ba cũ.

Alex Vovk, CEO và đồng sáng lập của Action1, mô tả lỗi bảo mật này là "nguy hiểm" vì nó bắt nguồn từ mã cũ được cài đặt mặc định trên tất cả các hệ thống Windows, bất kể phần cứng liên quan có hiện diện hay đang được sử dụng hay không.

"Trình điều khiển dễ bị tấn công được tích hợp sẵn trong mọi phiên bản Windows, bao gồm cả Server 2025", Adam Barnett, kỹ sư phần mềm trưởng tại Rapid7, cho biết. "Có thể modem fax của bạn sử dụng một chipset khác, nên bạn không cần trình điều khiển Agere? Hay bạn mới phát hiện ra email? Xui xẻo thay. Máy tính của bạn vẫn dễ bị tấn công, và kẻ tấn công cục bộ với tài khoản có đặc quyền tối thiểu có thể nâng lên thành quản trị viên."

Theo Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, CVE-2025-59230 là lỗ hổng đầu tiên trong RasMan bị khai thác như một lỗ hổng zero-day. Microsoft đã vá hơn 20 lỗ hổng trong thành phần này kể từ tháng 1 năm 2022.

Lỗ hổng thứ ba đã bị khai thác trong các cuộc tấn công thực tế liên quan đến trường hợp vượt qua Secure Boot trong IGEL OS trước phiên bản 11 ( CVE-2025-47827, điểm CVSS: 4,6). Chi tiết về lỗ hổng này lần đầu tiên được nhà nghiên cứu bảo mật Zack Didcott công bố vào tháng 6 năm 2025.

Kev Breen, giám đốc cấp cao về nghiên cứu mối đe dọa tại Immersive, cho biết: "Tác động của việc bỏ qua Secure Boot có thể rất đáng kể vì kẻ tấn công có thể triển khai rootkit cấp độ hạt nhân, truy cập vào chính hệ điều hành IGEL và sau đó can thiệp vào Virtual Desktops, bao gồm cả việc đánh cắp thông tin đăng nhập".

"Cần lưu ý rằng đây không phải là cuộc tấn công từ xa và thường cần phải có quyền truy cập vật lý để khai thác loại lỗ hổng này, nghĩa là các cuộc tấn công theo kiểu 'người giúp việc độc ác' có nhiều khả năng ảnh hưởng đến những nhân viên thường xuyên đi công tác."

Cả ba vấn đề này hiện đã được thêm vào danh mục Lỗ hổng bảo mật đã biết (KEV) của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), yêu cầu các cơ quan liên bang áp dụng các bản vá trước ngày 4 tháng 11 năm 2025.

Một số lỗ hổng nghiêm trọng khác đáng chú ý bao gồm lỗi thực thi mã từ xa (RCE) ( CVE-2025-59287, điểm CVSS: 9,8) trong Windows Server Update Service (WSUS), lỗ hổng đọc ngoài giới hạn trong hàm trợ giúp CryptHmacSign của triển khai tham chiếu TPM2.0 của Trusted Computing Group (TCG) ( CVE-2025-2884, điểm CVSS: 5,3) và RCE trong Windows URL Parsing ( CVE-2025-59295, 8,8).

"Kẻ tấn công có thể lợi dụng điều này bằng cách cẩn thận xây dựng một URL độc hại", Ben McCarthy, kỹ sư an ninh mạng hàng đầu tại Immersive, cho biết. "Dữ liệu tràn có thể được thiết kế để ghi đè lên dữ liệu chương trình quan trọng, chẳng hạn như con trỏ hàm hoặc con trỏ bảng hàm ảo (vtable) của đối tượng."

"Khi ứng dụng sau đó cố gắng sử dụng con trỏ bị hỏng này, thay vì gọi một hàm hợp lệ, nó sẽ chuyển hướng luồng thực thi của chương trình đến một địa chỉ bộ nhớ do kẻ tấn công kiểm soát. Điều này cho phép kẻ tấn công thực thi mã tùy ý (shellcode) trên hệ thống mục tiêu."

Hai lỗ hổng có điểm CVSS cao nhất trong bản cập nhật tháng này liên quan đến lỗ hổng leo thang đặc quyền trong Microsoft Graphics Component ( CVE-2025-49708, điểm CVSS: 9,9) và lỗ hổng bỏ qua tính năng bảo mật trong   Đăng nhập để xem liên kết ( CVE-2025-55315, điểm CVSS: 9,9).

Mặc dù việc khai thác CVE-2025-55315 yêu cầu kẻ tấn công phải được xác thực trước, nhưng nó có thể bị lạm dụng để âm thầm vượt qua các biện pháp kiểm soát bảo mật và thực hiện các hành động độc hại bằng cách lén lút đưa một yêu cầu HTTP độc hại thứ hai vào nội dung của yêu cầu được xác thực ban đầu.

McCarthy giải thích về CVE-2025-49708 rằng: "Một tổ chức phải ưu tiên vá lỗ hổng này vì nó làm mất hiệu lực lời hứa bảo mật cốt lõi của ảo hóa", đồng thời mô tả đây là lỗ hổng có tác động lớn dẫn đến thoát toàn bộ máy ảo (VM).

"Một cuộc khai thác thành công có nghĩa là kẻ tấn công, ngay cả khi có được quyền truy cập đặc quyền thấp vào một máy ảo khách duy nhất, không quan trọng, cũng có thể đột nhập và thực thi mã với đặc quyền HỆ THỐNG trực tiếp trên máy chủ lưu trữ cơ sở. Việc không thể cô lập này có nghĩa là kẻ tấn công sau đó có thể truy cập, thao túng hoặc phá hủy dữ liệu trên mọi máy ảo khác đang chạy trên cùng máy chủ đó, bao gồm cả bộ điều khiển miền quan trọng, cơ sở dữ liệu hoặc các ứng dụng sản xuất."

Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được các nhà cung cấp khác phát hành trong vài tuần qua để khắc phục một số lỗ hổng, bao gồm:

    Adobe
    Amazon Web Services
    AMD
    AMI
    Apple
    ASUS
    Broadcom (VMware)
    Canon
    Check Point
    Cisco
    D-Link
    Dell
    Drupal
    Elastic
    F5
    Fortinet
    Foxit Software
    FUJIFILM
    Gigabyte
    GitLab
    Google Chrome
    Google Cloud
    Google Pixel Watch
    Hitachi Energy
    HMS Networks (Red Lion)
    Honeywell
    HP
    HP Enterprise (Aruba Networking, Juniper Networks)
    IBM
    Ivanti
    Jenkins
    Lenovo
    Linux distributions AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, Ubuntu
    MediaTek
    Mitsubishi Electric
    MongoDB
    Moxa
    Mozilla Firefox, Firefox ESR, Thunderbird
    NVIDIA
    Oracle
    Palo Alto Networks
    Progress Software
    QNAP
    Qualcomm
    Ricoh
    Rockwell Automation
    Salesforce
    Samsung
    SAP
    Schneider Electric
    ServiceNow
    Siemens
    SolarWinds
    SonicWall
    Splunk
    Spring Framework
    Supermicro
    Synology
    TP-Link
    Veeam
    Zoom