Microsoft đã chính thức xác nhận về hoạt động khai thác zero-day nghiêm trọng đang diễn ra, ảnh hưởng đến dịch vụ Windows Remote Access Connection Manager. Lỗ hổng này được định danh là CVE-2025-59230.

Lỗ hổng bảo mật được công bố vào ngày 14 tháng 10 năm 2025 này, cho phép những kẻ tấn công với quyền truy cập hệ thống hạn chế leo thang đặc quyền lên mức cao nhất.

Điều này đồng nghĩa với việc chúng có thể giành quyền kiểm soát hoàn toàn các hệ thống Windows đã bị xâm nhập.

Khai Thác Zero-Day Nghiêm Trọng Trong Windows Remote Access Connection Manager

Lỗ hổng này xuất phát từ việc thực thi kiểm soát truy cập không đúng cách trong thành phần Windows Remote Access Connection Manager. Đây là một dịch vụ thiết yếu chịu trách nhiệm quản lý các kết nối mạng từ xa trong các hệ điều hành Windows.

Các chuyên gia bảo mật tại Microsoft Threat Intelligence Center (MSTIC) và Microsoft Security Response Center (MSRC) đã tìm thấy bằng chứng rõ ràng về hoạt động khai thác zero-day trong thực tế.

Điều này xảy ra trước cả khi bản vá chính thức được phát hành, khẳng định nó là một mối đe dọa zero-day cấp bách.

Tổng Quan về Lỗ Hổng CVE-2025-59230

Lỗ hổng CVE-2025-59230 được Microsoft đánh giá là có mức độ nghiêm trọng “Important” với điểm CVSS cơ bản là 7.8.

Điểm CVSS tạm thời cũng ở mức cao là 7.2, phản ánh nguy cơ hiện hữu từ các cuộc tấn công.

Cuộc tấn công để khai thác lỗ hổng này yêu cầu kẻ tấn công phải có quyền truy cập cục bộ vào hệ thống mục tiêu. Điều này có nghĩa là kẻ tấn công cần phải đã thiết lập được một điểm truy cập ban đầu trên máy, thường với đặc quyền người dùng cấp thấp.

Mức Độ Nghiêm Trọng và Đặc Điểm Tấn Công

Mặc dù yêu cầu truy cập cục bộ, độ phức tạp của cuộc tấn công được đánh giá là thấp.

Một khi đã có mặt trên hệ thống, việc khai thác zero-day này trở nên tương đối đơn giản và không đòi hỏi bất kỳ sự tương tác nào của người dùng để thành công.

Khía cạnh đáng báo động nhất của lỗ hổng này là khả năng leo thang đặc quyền lên cấp độ SYSTEM.

Cấp độ SYSTEM đại diện cho tầng quyền hạn cao nhất trong môi trường Windows, mang lại quyền kiểm soát gần như tuyệt đối.

Việc này đặt ra một rủi ro đáng kể cho các tổ chức và người dùng cá nhân.

Tác Động và Nguy Cơ Chiếm Quyền Điều Khiển Hệ Thống

Hoạt động khai thác zero-day này là một mối lo ngại lớn do khả năng leo thang đặc quyền.

Nó cho phép kẻ tấn công vượt qua các cơ chế bảo mật tiêu chuẩn để đạt được quyền kiểm soát hoàn toàn hệ thống.

Khả Năng Leo Thang Đặc Quyền SYSTEM

Việc chiếm quyền điều khiển ở cấp SYSTEM mang lại cho kẻ tấn công quyền truy cập không hạn chế vào hệ thống bị ảnh hưởng.

Cụ thể, chúng có thể đọc, sửa đổi hoặc xóa bất kỳ dữ liệu nào hiện có trên hệ thống.

Khả năng cài đặt phần mềm độc hại cũng trở nên dễ dàng, bao gồm ransomware, phần mềm gián điệp, hoặc các công cụ chiếm quyền.

Kẻ tấn công còn có thể tạo các tài khoản quản trị viên mới. Điều này giúp chúng duy trì quyền truy cập liên tục vào các hệ thống đã bị xâm nhập, ngay cả khi các tài khoản bị lộ ban đầu bị vô hiệu hóa.

Toàn bộ quá trình chiếm quyền điều khiển này diễn ra mà không gặp trở ngại lớn một khi lỗ hổng đã được khai thác.

Nguy Cơ Sau Khi Chiếm Quyền

Đánh giá khả năng khai thác của Microsoft đã xác nhận rằng mã khai thác chức năng cho lỗ hổng CVE-2025-59230 đã tồn tại.

Bằng chứng cho thấy hoạt động khai thác zero-day đã được phát hiện trong các cuộc tấn công thực tế trên toàn cầu.

Điều đáng chú ý là lỗ hổng này không được công khai trước thông báo chính thức của Microsoft. Điều này ngụ ý rằng các tác nhân đe dọa đã tự phát triển các công cụ khai thác hoặc thu thập chúng thông qua các kênh ngầm.

Việc kẻ tấn công đã và đang tận dụng lỗ hổng này làm nổi bật sự khẩn cấp.

Các tổ chức cần phải áp dụng các bản cập nhật bảo mật ngay lập tức để giảm thiểu rủi ro.

Thành phần Windows Remote Access Connection Manager được tích hợp trên nhiều phiên bản Windows, có khả năng khiến hàng triệu hệ thống trên khắp thế giới dễ bị tổn thương và đối mặt với nguy cơ khai thác zero-day.

Khuyến Nghị Bảo Mật và Biện Pháp Đối Phó

Trước tình hình hoạt động khai thác zero-day này, các tổ chức và quản trị viên hệ thống cần thực hiện ngay các biện pháp phòng ngừa và đối phó để bảo vệ tài sản số của mình.

Ưu Tiên Cập Nhật Bản Vá

Các chuyên gia bảo mật khuyến nghị mạnh mẽ các quản trị viên hệ thống nên ưu tiên hàng đầu các nỗ lực cập nhật bản vá.

Điều này đặc biệt quan trọng đối với các hệ thống có thể truy cập bởi nhiều người dùng hoặc các hệ thống kết nối trực tiếp với mạng công ty và internet.

Việc áp dụng bản vá càng sớm càng tốt là một bước phòng thủ thiết yếu để ngăn chặn thành công các cuộc tấn công lợi dụng khai thác zero-day này.

Giám Sát và Phát Hiện Dấu Hiệu Thỏa Hiệp

Ngoài việc cập nhật, các tổ chức cũng cần tăng cường giám sát.

Hãy chú ý đến bất kỳ nỗ lực leo thang đặc quyền đáng ngờ nào trên hệ thống.

Việc xem xét định kỳ nhật ký hệ thống là cần thiết để tìm kiếm các chỉ báo thỏa hiệp (IOC) liên quan đến dịch vụ Remote Access Connection Manager.

Chủ động phát hiện và phản ứng nhanh chóng là chìa khóa để đối phó hiệu quả với mối đe dọa từ khai thác zero-day và bảo vệ hệ thống khỏi các cuộc tấn công tiếp theo.