Một lỗ hổng zero-day mới được phát hiện trong driver Windows Agere Modem đang bị các tác nhân đe dọa khai thác tích cực để leo thang đặc quyền trên các hệ thống bị ảnh hưởng.

Các lỗ hổng này, được theo dõi dưới mã định danh CVE-2025-24052 và CVE-2025-24990, cho phép người dùng có đặc quyền thấp giành quyền kiểm soát hệ thống hoàn toàn mà không cần tương tác người dùng.

Microsoft đã phát hành bản cập nhật tích lũy tháng 10, loại bỏ driver ltmdm64.sys dễ bị tổn thương.

Tuy nhiên, các tổ chức đang phụ thuộc vào phần cứng modem fax mà thành phần này hỗ trợ có thể phải đối mặt với sự gián đoạn dịch vụ tiềm ẩn.

Phân tích Lỗ Hổng Zero-Day CVE-2025-24052

Lỗ hổng đầu tiên, CVE-2025-24052, là một lỗi tràn bộ đệm dựa trên stack (stack-based buffer overflow) trong driver Agere Modem.

Một kẻ tấn công với đặc quyền thấp có thể khai thác lỗ hổng zero-day này cục bộ để thực thi mã tùy ý trong ngữ cảnh kernel.

Điều này dẫn đến tác động cao về tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của hệ thống.

Microsoft đánh giá mức độ nghiêm trọng là Important với điểm CVSS v3.1 là 7.8.

Mã khai thác bằng chứng khái niệm (Proof-of-concept exploit code) đã được công bố, làm tăng tính cấp bách của việc áp dụng bản vá bảo mật.

Bạn có thể tham khảo chi tiết tại trang tư vấn bảo mật của Microsoft: MSRC Advisory CVE-2025-24052.

Lỗ Hổng CVE-2025-24990: Khai Thác Tương Tự

Không lâu sau khi phát hiện lỗ hổng đầu tiên, các nhà nghiên cứu đã xác định CVE-2025-24990, một lỗi dereference con trỏ không đáng tin cậy (untrusted pointer dereference) trong cùng một driver.

Điểm yếu này cũng cho phép leo thang đặc quyền cục bộ, tận dụng đặc quyền người dùng thấp và không yêu cầu tương tác người dùng.

Microsoft cũng xếp mức độ nghiêm trọng là Important và gán điểm CVSS v3.1 là 7.8.

Mặc dù ban đầu chưa có mã khai thác công khai nào được quan sát, sự tương đồng của lỗ hổng zero-day này với CVE-2025-24052 làm tăng nguy cơ bị vũ khí hóa nhanh chóng.

Tác Động Lên Các Hệ Thống Bị Ảnh Hưởng

Cả hai lỗ hổng zero-day này đều nhắm mục tiêu vào thành phần ltmdm64.sys, được bao gồm mặc định trong các bản phát hành Windows được hỗ trợ.

Phần cứng modem fax dựa vào driver Agere cụ thể này sẽ ngừng hoạt động sau khi driver bị loại bỏ bởi bản cập nhật tích lũy tháng 10.

Các tổ chức sử dụng giải pháp fax trong các ngành được quản lý chặt chẽ như chăm sóc sức khỏe, tài chính và dịch vụ pháp lý cần đánh giá sự phụ thuộc của họ vào phần cứng modem cũ.

Đồng thời, cần xem xét các phương pháp liên lạc thay thế để tránh nguy cơ bảo mật.

Tóm tắt điều hành của Microsoft nhấn mạnh việc loại bỏ driver lỗi thời và thúc giục các quản trị viên loại bỏ mọi phụ thuộc hiện có vào phần cứng modem fax không thể cập nhật.

Vì mã khai thác bằng chứng khái niệm cho lỗ hổng zero-day CVE-2025-24052 có sẵn công khai, các tác nhân đe dọa có thể tích hợp mã này vào các chuỗi tấn công rộng hơn.

Việc giành được quyền truy cập cấp kernel thông qua các lỗ hổng zero-day này có thể cho phép đánh cắp dữ liệu hoặc triển khai mã độc tống tiền.

Biện Pháp Giảm Thiểu và Khuyến Nghị

Để giảm thiểu cả hai lỗ hổng zero-day, hãy áp dụng ngay lập tức bản cập nhật tích lũy Windows tháng 10 năm 2025.

Bản cập nhật này sẽ loại bỏ vĩnh viễn driver ltmdm64.sys dễ bị tổn thương khỏi tất cả các nền tảng được hỗ trợ, khắc phục hoàn toàn CVE nghiêm trọng này.

Đối với các môi trường mà việc thay thế phần cứng chưa khả thi, hãy xem xét các biện pháp tạm thời sau:

• Cô lập các hệ thống có cài đặt driver Agere Modem để giảm thiểu rủi ro.
• Giám sát chặt chẽ lưu lượng mạng và các hoạt động đáng ngờ liên quan đến các hệ thống này.
• Áp dụng các chính sách bảo mật chặt chẽ để hạn chế quyền truy cập vào các hệ thống dễ bị tổn thương.

Cuối cùng, việc chuyển đổi khỏi phần cứng modem không được hỗ trợ sẽ loại bỏ hoàn toàn bề mặt tấn công của các lỗ hổng zero-day trong tương lai.

Các đội ngũ IT nên kiểm tra kho hàng hiện có, ưu tiên các hệ thống đã cài đặt driver Agere Modem và lên kế hoạch di chuyển sang các giải pháp liên lạc được hỗ trợ.