CrowdStrike đã công bố hai lỗ hổng CVE nghiêm trọng ảnh hưởng đến cảm biến Falcon cho Windows, có khả năng cho phép kẻ tấn công xóa các tệp tùy ý và gây ảnh hưởng đến sự ổn định của hệ thống. Các bản vá đã được phát hành để khắc phục các vấn đề an ninh này.

Phân Tích Chuyên Sâu Các Lỗ Hổng Kỹ Thuật

Hai lỗ hổng này, được định danh là CVE-2025-42701 và CVE-2025-42706, đều yêu cầu kẻ tấn công phải có khả năng thực thi mã (code execution) trên hệ thống mục tiêu từ trước. Chúng được phát hiện thông qua chương trình Bug Bounty của CrowdStrike, nhấn mạnh cam kết của công ty đối với bảo mật sản phẩm.

CVE-2025-42701: Lỗi Race Condition (CWE-367)

CVE-2025-42701 là một lỗ hổng CVE kiểu race condition với điểm CVSS là 5.6. Lỗi này bắt nguồn từ vấn đề Time-of-check Time-of-use (TOCTOU), được phân loại theo mã CWE-367.

Trong một cuộc tấn công TOCTOU, kẻ tấn công có thể thay đổi một tài nguyên giữa thời điểm hệ thống kiểm tra tình trạng của nó và thời điểm nó sử dụng tài nguyên đó, dẫn đến hành vi không mong muốn. Với lỗ hổng CVE này, việc xóa tệp có thể xảy ra do sự tranh chấp tài nguyên.

CVE-2025-42706: Lỗi Logic (CWE-346)

CVE-2025-42706 liên quan đến một lỗi logic với điểm CVSS cao hơn, ở mức 6.5. Lỗi này liên quan đến các vấn đề xác thực nguồn gốc (origin validation problems) và được phân loại theo mã CWE-346.

Các lỗi xác thực nguồn gốc có thể cho phép kẻ tấn công thực hiện các hành động trái phép bằng cách đánh lừa hệ thống tin rằng yêu cầu đến từ một nguồn đáng tin cậy. Trong trường hợp này, nó có thể dẫn đến việc xóa các tệp mà lẽ ra không được phép.

Điều Kiện Khai Thác và Tác Động Hệ Thống

Cả hai lỗ hổng CVE này đều cho phép các tác nhân độc hại xóa các tệp tùy ý trên các hệ thống Windows bị ảnh hưởng. Điều này có thể gây ra các vấn đề về độ ổn định nghiêm trọng không chỉ cho cảm biến Falcon mà còn cho các thành phần phần mềm quan trọng khác, bao gồm cả hệ điều hành.

Điều kiện tiên quyết để khai thác các lỗ hổng CVE này là kẻ tấn công phải có khả năng thực thi mã trên hệ thống mục tiêu. Đây là một bước quan trọng, cho thấy rằng các lỗ hổng này không thể bị khai thác từ xa mà không có quyền truy cập ban đầu.

Thông tin chi tiết về các kỹ thuật thực thi mã có thể được tham khảo từ các nghiên cứu bảo mật chuyên sâu. Ví dụ về một lỗ hổng thực thi mã có thể tham khảo tại: OpenSSH ProxyCommand Flaw.

Cập Nhật Bản Vá Bảo Mật và Các Phiên Bản Ảnh Hưởng

CrowdStrike đã nhanh chóng phát hành các bản vá bảo mật cho các lỗ hổng này trong phiên bản cảm biến mới nhất của mình, cùng với các hotfix cho các phiên bản cũ hơn để đảm bảo phạm vi bảo vệ toàn diện.

Chi Tiết Các Phiên Bản Falcon Sensor Bị Ảnh Hưởng

Các phiên bản sau của cảm biến Falcon dành cho Windows được xác định là bị ảnh hưởng:

• 7.28.20006 và các bản dựng cũ hơn
• 7.27.19907 và các bản dựng cũ hơn
• 7.26.19811 và các bản dựng cũ hơn
• 7.25.19706 và các bản dựng cũ hơn
• 7.24.19607 và các bản dựng cũ hơn
• Đối với hệ thống Windows 7 và 2008 R2: 7.16.18635 và các bản dựng 7.16 cũ hơn

Các Bản Vá Bảo Mật Đã Phát Hành

Các phiên bản được vá tương ứng đã được phát hành. Người dùng nên cập nhật ngay lập tức lên các phiên bản sau để vá các lỗ hổng CVE:

• 7.29 (phiên bản cảm biến mới nhất)
• 7.28.20008 và các phiên bản sau
• 7.27.19909
• 7.26.19813
• 7.25.19707
• 7.24.19608 (cũng là bản cập nhật cho cảm biến Long-Term Visibility hiện tại cho triển khai Windows IoT)
• Đối với hệ thống Windows 7 và 2008 R2 kế thừa: 7.16.18637

Hệ Thống Không Bị Ảnh Hưởng

CrowdStrike đã xác nhận rằng chỉ các cảm biến Falcon dựa trên Windows bị ảnh hưởng bởi những lỗ hổng này. Các hệ thống Mac, Linux và hầu hết các hệ thống Windows kế thừa (ngoại trừ các bản dựng 7.16 cụ thể) vẫn không bị ảnh hưởng bởi các lỗ hổng CVE an ninh này.

Phát Hiện Lỗ Hổng và Khuyến Nghị Khẩn Cấp

CrowdStrike đã phát hiện các lỗ hổng này thông qua chương trình Bug Bounty của mình như một phần của đánh giá an ninh toàn diện. Đây là một ví dụ về phương pháp chủ động trong việc tìm kiếm và khắc phục các vấn đề bảo mật trước khi chúng bị kẻ xấu khai thác.

Hiện tại, CrowdStrike báo cáo không có bằng chứng về việc khai thác tích cực các lỗ hổng CVE này trong môi trường sản xuất. Các đội ngũ tình báo và săn lùng mối đe dọa của công ty đang liên tục giám sát để phát hiện các nỗ lực lạm dụng tiềm tàng và đã thiết lập các cơ chế để phát hiện các hành vi khai thác.

Để giúp khách hàng xác định các máy chủ có khả năng bị ảnh hưởng trong môi trường của họ, CrowdStrike cung cấp một truy vấn GitHub. Việc sử dụng công cụ này rất quan trọng để đưa ra một cảnh báo CVE kịp thời và chính xác, cho phép các quản trị viên hệ thống nhanh chóng xác định và khắc phục rủi ro.

CrowdStrike khuyến nghị mạnh mẽ khách hàng nâng cấp các máy chủ Windows đang chạy các phiên bản cảm biến bị ảnh hưởng lên các bản phát hành được vá lỗi mới nhất. Việc này nhằm duy trì tư thế bảo mật tối ưu và ngăn chặn các cuộc tấn công xóa tệp tiềm ẩn. Việc triển khai các bản cập nhật bảo mật này không ảnh hưởng đến hiệu suất, theo kết quả thử nghiệm của CrowdStrike.

Để biết thêm thông tin chi tiết về các lỗ hổng này và hướng dẫn cập nhật, bạn có thể tham khảo trực tiếp trên trang tư vấn bảo mật của CrowdStrike: CrowdStrike Security Advisories.