Trong bản phát hành Patch Tuesday tháng 10 năm 2025, Microsoft đã giải quyết một con số ấn tượng là 172 lỗ hổng bảo mật trên toàn bộ hệ sinh thái rộng lớn của mình. Tâm điểm của bản cập nhật này là bốn lỗ hổng zero-day, trong đó hai lỗ hổng zero-day đã bị khai thác trong thực tế, cùng một lỗ hổng leo thang đặc quyền (LPE) khác cũng đang bị tấn công.

Bản cập nhật bản vá quy mô lớn này nhắm mục tiêu vào nhiều loại sản phẩm, từ hệ điều hành Windows và Microsoft Office đến các dịch vụ đám mây Azure. Điều này không chỉ cho thấy quy mô của các hệ thống bị ảnh hưởng mà còn nhấn mạnh tốc độ không ngừng của các mối đe dọa mạng và cuộc đua của các tổ chức trong việc củng cố an ninh hệ thống.

Các Lỗ hổng Zero-day Đang Bị Khai Thác

Trong số các vấn đề được vá, ba lỗ hổng đang bị khai thác tích cực trong các cuộc tấn công thực tế là mối quan tâm hàng đầu, đặc biệt là các lỗ hổng zero-day chưa từng được biết đến trước đây.

CVE-2025-2884: Lỗi Out-of-bounds Read trong TCG TPM2.0

Một trong những lỗ hổng zero-day bị khai thác tích cực là CVE-2025-2884. Đây là một lỗi out-of-bounds read được tìm thấy trong triển khai tham chiếu TCG TPM2.0.

Lỗi này phát sinh từ việc xác thực yếu kém trong các hàm ký mã hóa, khiến các hệ thống đối mặt với nguy cơ tiết lộ thông tin. Lỗ hổng này được công khai thông qua CERT/CC và ảnh hưởng đến các Trusted Platform Modules (TPM), vốn là thành phần cốt yếu trong các quy trình khởi động an toàn (Secure Boot).

Việc rò rỉ thông tin từ TPM có thể làm suy yếu các cơ chế bảo mật cấp thấp nhất, đặt nền móng cho các cuộc tấn công phức tạp hơn.

Thông tin chi tiết về lỗ hổng CVE này có thể được tìm thấy tại: MSRC Security Update Guide – CVE-2025-2884.

CVE-2025-47827: Bỏ Qua Secure Boot trên IGEL OS

Lỗ hổng zero-day thứ hai đang bị khai thác là CVE-2025-47827. Lỗi này cho phép kẻ tấn công bỏ qua tính năng Secure Boot trong các phiên bản IGEL OS trước 11.

Khai thác lỗ hổng này dựa trên việc xác minh chữ ký không đúng cách, cho phép các hệ thống tệp gốc độc hại (malicious root filesystems) được gắn kết từ các ảnh (images) không được xác minh. Đây là một con đường nguy hiểm để cài đặt mã độc dai dẳng và chiếm quyền kiểm soát hệ thống ở cấp độ thấp.

Việc bỏ qua Secure Boot có thể dẫn đến việc khởi chạy các hệ điều hành hoặc firmware độc hại, từ đó làm tổn hại nghiêm trọng đến tính toàn vẹn và bảo mật của thiết bị.

Thông tin chi tiết về lỗ hổng zero-day này có tại: MSRC Security Update Guide – CVE-2025-47827.

CVE-2025-59230: Leo Thang Đặc Quyền Cục Bộ trong Windows Remote Access Connection Manager

Ngoài hai lỗ hổng zero-day trên, Microsoft cũng đã khắc phục CVE-2025-59230, một lỗ hổng leo thang đặc quyền cục bộ (Local Privilege Escalation – LPE) trong Windows Remote Access Connection Manager. Lỗi này bắt nguồn từ việc kiểm soát truy cập không đúng cách.

Đây là một lỗ hổng CVE khác đã bị khai thác tích cực trong thực tế, cho phép kẻ tấn công đã có quyền truy cập cục bộ vào hệ thống giành được các đặc quyền cao hơn, có khả năng đạt được quyền quản trị (Administrator) hoặc hệ thống (SYSTEM).

Việc leo thang đặc quyền này là một bước quan trọng trong chuỗi tấn công, giúp kẻ xâm nhập củng cố sự hiện diện và thực hiện các hành động độc hại nghiêm trọng hơn.

Tham khảo chi tiết: MSRC Security Update Guide – CVE-2025-59230.

Các Lỗ hổng Zero-day Quan Trọng Khác Được Vá

Bên cạnh các lỗ hổng zero-day đang bị khai thác, bản cập nhật bản vá tháng 10 còn khắc phục hai lỗ hổng zero-day quan trọng khác chưa có dấu hiệu bị khai thác trong thực tế, nhưng tiềm ẩn nguy cơ cao.

• CVE-2025-59234: Một lỗ hổng use-after-free trong Microsoft Office.
• CVE-2025-59236: Một lỗ hổng use-after-free tương tự trong Microsoft Excel.

Cả hai lỗi này đều được đánh giá là nghiêm trọng với điểm CVSS xấp xỉ 7.8. Chúng cho phép thực thi mã từ xa (Remote Code Execution – RCE) khi người dùng mở các tệp độc hại, mà không yêu cầu bất kỳ xác thực nào.

Kẻ tấn công có thể lợi dụng những lỗ hổng CVE nghiêm trọng này để giành toàn quyền kiểm soát hệ thống của nạn nhân. Điều này mở đường cho việc đánh cắp dữ liệu nhạy cảm, cài đặt mã độc tống tiền (ransomware) hoặc các hình thức phá hoại khác.

Tổng Quan Phân Loại Các Lỗ hổng Bảo Mật Khác

Bản cập nhật bản vá tháng 10 không chỉ dừng lại ở các lỗ hổng zero-day mà còn giải quyết một loạt các lỗ hổng bảo mật đa dạng. Trong số đó có 11 vấn đề nghiêm trọng liên quan đến RCE và leo thang đặc quyền (Elevation of Privilege – EoP), với nhiều lỗi có nguồn gốc từ các vấn đề an toàn bộ nhớ (memory safety errors) như use-after-free và buffer overflows trong các codebase cũ.

Leo Thang Đặc Quyền (Elevation of Privilege – EoP)

Đây là danh mục phổ biến nhất với 80 lỗ hổng được khắc phục. Một ví dụ điển hình là CVE-2025-49708 trong Microsoft Graphics Component, cho phép kẻ tấn công leo thang đặc quyền qua mạng thông qua các lỗi hỏng bộ nhớ (memory corruption).

Lỗ hổng EoP cho phép kẻ tấn công có quyền truy cập thấp có thể giành quyền cao hơn trên hệ thống, từ đó thực hiện các hành động không được phép và kiểm soát nhiều hơn hệ thống bị ảnh hưởng.

Thực Thi Mã Từ Xa (Remote Code Execution – RCE)

Tổng cộng có 31 lỗ hổng RCE đã được khắc phục. Đáng chú ý là CVE-2025-59287 trong Windows Server Update Service (WSUS), cho phép RCE không cần xác thực qua mạng. Lỗ hổng này tiềm ẩn nguy cơ đáng kể cho các cuộc tấn công chuỗi cung ứng, nơi kẻ tấn công có thể chèn mã độc vào các bản cập nhật phần mềm hợp pháp.

Các lỗ hổng RCE là một trong những loại nguy hiểm nhất, vì chúng cho phép kẻ tấn công thực thi mã tùy ý trên một hệ thống từ xa, thường dẫn đến việc chiếm quyền kiểm soát hoàn toàn.

Tiết Lộ Thông Tin (Information Disclosure)

Có 28 vấn đề liên quan đến tiết lộ thông tin đã được vá, bao gồm các lỗi rò rỉ bộ nhớ kernel trong các lỗ hổng như CVE-2025-55693 và CVE-2025-59187.

Mặc dù không trực tiếp gây hại, việc tiết lộ thông tin nhạy cảm có thể cung cấp dữ liệu quan trọng cho kẻ tấn công để lập kế hoạch và thực hiện các cuộc tấn công tiếp theo.

Bỏ Qua Tính Năng Bảo Mật (Security Feature Bypass)

Tổng cộng có 11 lỗ hổng loại này đã được giải quyết. Nổi bật là CVE-2025-55682 trong BitLocker, có thể cho phép các cuộc tấn công vật lý bỏ qua các biện pháp bảo mật của hệ thống.

Lỗ hổng này đặc biệt nguy hiểm đối với dữ liệu trên các thiết bị di động hoặc máy tính vật lý bị đánh cắp, nơi kẻ tấn công có thể truy cập thông tin đã được mã hóa.

Thông tin chi tiết về lỗ hổng BitLocker này có thể tham khảo tại: GBHackers on Security – Windows BitLocker Flaw.

Từ Chối Dịch Vụ (Denial of Service – DoS)

Có 11 lỗ hổng DoS được vá, ví dụ như CVE-2025-55698 trong DirectX. Lỗi này có thể làm gián đoạn dịch vụ thông qua các lỗi tham chiếu con trỏ null (null dereferences), khiến ứng dụng hoặc hệ thống bị treo hoặc ngừng hoạt động.

Mặc dù không trực tiếp dẫn đến mất dữ liệu, các cuộc tấn công DoS có thể gây ra gián đoạn dịch vụ nghiêm trọng và tổn thất kinh doanh đáng kể.

Giả Mạo (Spoofing)

Danh mục này bao gồm 10 vấn đề được khắc phục. Các ví dụ là CVE-2025-59239 trong File Explorer và CVE-2025-59248 trong Exchange Server. Những lỗ hổng này có thể được sử dụng để lừa người dùng thực hiện các hành động độc hại, ví dụ như nhấp vào liên kết phishing hoặc tải xuống tệp độc hại.

Các cuộc tấn công giả mạo thường là bước đầu tiên trong các chiến dịch kỹ thuật xã hội, nhằm lấy cắp thông tin đăng nhập hoặc phân phối mã độc.

Xâm Phạm Dữ Liệu (Tampering)

Chỉ có một lỗ hổng loại này được ghi nhận trong bản cập nhật bản vá tháng 10, ảnh hưởng đến dữ liệu giám sát của Azure. Lỗ hổng Tampering cho phép kẻ tấn công sửa đổi dữ liệu, có thể dẫn đến việc thay đổi thông tin quan trọng hoặc che giấu dấu vết tấn công.