Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã phát đi cảnh báo về việc khai thác tích cực một lỗ hổng CVE leo thang đặc quyền nghiêm trọng trong Microsoft Windows. Đây là một lỗ hổng CVE được xác định với mã định danh CVE-2021-43226, ảnh hưởng trực tiếp đến hệ thống.

CVE-2021-43226: Lỗ hổng này cư trú trong trình điều khiển Common Log File System (CLFS). Kẻ tấn công có được quyền truy cập cục bộ có thể vượt qua các kiểm soát bảo mật. Điều này cho phép chúng leo thang đặc quyền, dẫn đến khả năng chiếm quyền điều khiển toàn bộ hệ thống.

Trình điều khiển CLFS là một thành phần cốt lõi của Windows. Nó chịu trách nhiệm quản lý các tệp nhật ký ghi lại các sự kiện của hệ thống và ứng dụng.

Đánh giá mức độ nghiêm trọng và khai thác lỗ hổng CVE

Microsoft đã công bố CVE-2021-43226 vào cuối năm 2021. Tuy nhiên, thông tin tình báo gần đây chỉ ra rằng các tác nhân đe dọa đã bắt đầu khai thác lỗ hổng CVE này. Chúng tích cực sử dụng nó trong các chiến dịch tấn công bằng mã độc ransomware.

Mặc dù chưa rõ nhóm cụ thể nào đang khai thác lỗ hổng, sự gia tăng đột ngột của các sự cố liên quan đã khiến CISA phải hành động. CISA đã bổ sung vấn đề này vào danh mục Known Exploited Vulnerabilities (KEV) vào ngày 6 tháng 10 năm 2025.

Các lỗ hổng CVE leo thang đặc quyền cục bộ đặt ra rủi ro nghiêm trọng. Chúng cho phép kẻ tấn công đạt được mức độ truy cập cao hơn so với quyền ban đầu được cấp. Một ví dụ điển hình là CVE-2021-43226.

Kịch bản tấn công chuỗi khai thác

Trong các cuộc tấn công có mục tiêu, kẻ tấn công thường kết hợp các lỗ hổng leo thang đặc quyền như CVE-2021-43226 với các lỗ hổng thực thi mã từ xa (RCE). Điều này cho phép chúng mở rộng phạm vi xâm nhập.

Đầu tiên, chúng thực thi mã thông qua một dịch vụ bị lộ hoặc một cuộc tấn công lừa đảo. Sau đó, kẻ tấn công sử dụng lỗ hổng CVE-2021-43226 để di chuyển ngang trong mạng. Mục đích là truy cập dữ liệu nhạy cảm hoặc chiếm quyền kiểm soát các hệ thống quan trọng.

Thông tin chi tiết về lỗ hổng có thể được tìm thấy tại NVD NIST CVE-2021-43226.

Đối tượng chịu rủi ro và hậu quả tiềm tàng

Bất kỳ tổ chức nào đang sử dụng các phiên bản Microsoft Windows bị ảnh hưởng đều có nguy cơ. Đặc biệt là khi kẻ tấn công cục bộ có thể truy cập vào một hệ thống. Đây là một điểm yếu quan trọng cần được quan tâm trong chiến lược an ninh mạng tổng thể.

Các máy trạm và máy chủ chứa dữ liệu nhạy cảm, ứng dụng quan trọng hoặc công cụ quản lý đám mây là những mục tiêu chính. Chúng có khả năng bị tấn công cao nhất thông qua lỗ hổng CVE-2021-43226 này.

Lỗ hổng này không yêu cầu tương tác của người dùng. Kẻ tấn công chỉ cần thực thi mã với các đặc quyền cơ bản để khai thác. Điều này làm tăng mức độ rủi ro và cần có hành động nhanh chóng.

Do đó, các nhóm bảo mật phải hành động nhanh chóng. Mục tiêu là ngăn chặn việc leo thang đặc quyền trái phép. Việc này có thể dẫn đến rò rỉ dữ liệu, mã hóa dữ liệu đòi tiền chuộc, hoặc phá hoại các quy trình làm việc quan trọng.

Các tổ chức vừa và nhỏ có thể đối mặt với những thách thức đặc biệt. Họ thường thiếu các đội ứng phó sự cố chuyên trách hoặc quy trình quản lý bản vá bảo mật mở rộng.

Nếu không có biện pháp giảm thiểu kịp thời, chỉ một máy trạm bị xâm nhập có thể cho phép kẻ tấn công đạt được quyền quản trị viên miền. Điều này có nghĩa là chúng có thể kiểm soát toàn bộ mạng.

Các biện pháp giảm thiểu và phòng ngừa

CISA khuyến nghị tất cả người dùng bị ảnh hưởng áp dụng các biện pháp giảm thiểu do Microsoft cung cấp mà không chậm trễ. Điều này bao gồm việc cài đặt các bản cập nhật bảo mật mới nhất để khắc phục lỗ hổng CVE-2021-43226.

Các biện pháp này bao gồm việc cài đặt các bản cập nhật bảo mật mới nhất. Đồng thời, đảm bảo các công cụ bảo vệ điểm cuối phát hiện và chặn các nỗ lực khai thác đã biết. Việc cập nhật bản vá bảo mật là cực kỳ quan trọng.

Các tổ chức sử dụng dịch vụ đám mây nên tuân thủ hướng dẫn trong Chỉ thị Hoạt động Bắt buộc (BOD) 22-01. Chỉ thị này quy định việc công bố lỗ hổng phối hợp và quản lý bản vá bảo mật cho các cơ quan liên bang và nhà thầu.

Giải pháp tạm thời và giám sát

Trong trường hợp không thể cập nhật ngay lập tức, chủ sở hữu hệ thống nên xem xét các giải pháp tạm thời. Ví dụ như hạn chế quyền truy cập vào trình điều khiển CLFS hoặc cô lập các hệ thống có rủi ro cao. Đây là cách để giảm thiểu nguy cơ khai thác lỗ hổng CVE.

Ngừng sử dụng các cài đặt Windows không được hỗ trợ hoặc không được quản lý sẽ giảm thiểu rủi ro. Các nhóm bảo mật cũng nên xem xét nhật ký để tìm hoạt động bất thường của trình điều khiển CLFS. Ngoài ra, cần cấu hình cảnh báo cho các sự kiện có thể chỉ ra nỗ lực khai thác lỗ hổng CVE-2021-43226.

Bằng cách giải quyết CVE-2021-43226 thông qua việc vá lỗi kịp thời, giám sát và tuân thủ hướng dẫn, các tổ chức có thể giảm thiểu rủi ro leo thang đặc quyền. Điều này giúp bảo vệ tài sản quan trọng khỏi mã độc ransomware và các mối đe dọa mạng khác.