Google vừa phát hành bản vá khẩn cấp cho trình duyệt Chrome để ứng phó một lỗ hổng nghiêm trọng - đồng thời Microsoft cũng tung cảnh báo về một lỗ hổng zero-day mới trong nhân Windows có khả năng cho phép kẻ tấn công chiếm quyền hệ thống. Microsoft xác nhận có các cuộc tấn công thực tế khai thác lỗ hổng này, vì vậy người dùng cần cập nhật ngay khi có bản vá.
Bản cập nhật bảo mật tháng này - một chương mới trong chuỗi Patch Tuesday - khắc phục tổng cộng 63 lỗ hổng, nhưng nổi bật nhất là CVE-2025-62215, một zero-day đang bị khai thác.
Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, Microsoft xác nhận lỗ hổng thực sự đã bị lợi dụng trong môi trường thực tế. Narang nhận định lỗ hổng này có khả năng được sử dụng làm bước “leo thang đặc quyền” trong chuỗi tấn công, thường theo sau khi kẻ xấu có được truy cập ban đầu qua lừa đảo, tấn công kỹ thuật xã hội hoặc khai thác lỗ hổng khác.
Ảnh minh họa
Trong tư liệu khuyến cáo, Microsoft mô tả nguyên nhân là “thực thi đồng thời bằng tài nguyên chia sẻ với đồng bộ hóa không đúng cách” (tình trạng chạy đua), dẫn đến việc kẻ tấn công có thể nâng quyền cục bộ. Các chuyên gia bảo mật đã đào sâu phân tích thêm: Adam Barnett, kỹ sư phần mềm cấp cao tại Rapid7, cảnh báo lỗ hổng này “có khả năng ảnh hưởng tới hầu hết mọi tài sản chạy phần mềm Microsoft” và trong trường hợp thuận lợi, kẻ tấn công có thể thực thi mã từ xa ở mức hệ thống qua mạng mà không cần chỗ đứng ban đầu. Mặc dù Barnett cho rằng CVE-2025-60724 - một lỗ hổng liên quan - khó bị khai thác, ông vẫn khuyến nghị coi đây là “ưu tiên hàng đầu” khi triển khai các bản vá trong tháng.
Microsoft xác định nguyên nhân gốc rễ liên quan tới CWE-362 (đồng bộ hóa không đúng cách khi dùng tài nguyên chung) và CWE-415 (giải phóng kép). Ben McCarthy, kỹ sư an ninh tại Immersive, giải thích khi kết hợp hai điều kiện này, kẻ tấn công có quyền truy cập cục bộ đặc quyền thấp có thể chạy chương trình đặc chế để kích hoạt tình trạng chạy đua: nhiều luồng tương tác không đồng bộ với tài nguyên, gây rối quản lý bộ nhớ và dẫn tới giải phóng cùng một khối bộ nhớ hai lần. Hậu quả bộ nhớ bị ghi đè và luồng thực thi hệ thống bị chiếm đoạt.
Jason Soroko, nghiên cứu viên cao cấp tại Sectigo, kết luận: “CVE-2025-62215 không tự mở cửa - nó mở toang cửa khi kẻ tấn công đã vào bên trong". Tóm lại: đây là lỗ hổng nghiêm trọng, đã bị khai thác trong thực tế và tất cả tổ chức lẫn người dùng cá nhân nên cập nhật Windows ngay lập tức theo khuyến nghị của Microsoft.
