Một **lỗ hổng nghiêm trọng** đã được phát hiện trong Microsoft Internet Information Services (IIS), cho phép kẻ tấn công thực hiện **remote code execution** mà không cần xác thực. Lỗ hổng này ảnh hưởng đến các đối tượng COM trong hộp thư đến (IIS Inbox COM Objects) và xuất phát từ việc xử lý bộ nhớ chia sẻ không đúng cách, cùng với việc sử dụng các đối tượng đã được giải phóng (use-after-free).

Tổng quan về lỗ hổng IIS: CVE-2025-59282

Vào ngày **14 tháng 10 năm 2025**, Microsoft đã công bố một **lỗ hổng CVE** có mã định danh **CVE-2025-59282**. Đây là một lỗ hổng **remote code execution** trong IIS Inbox COM Objects, được đánh giá là “Quan trọng” theo phân loại của Microsoft.

Điểm đáng chú ý của lỗ hổng này là nó không yêu cầu bất kỳ hình thức xác thực nào. Điều này có nghĩa là bất kỳ kẻ tấn công nào có quyền truy cập mạng vào máy chủ bị ảnh hưởng đều có thể khai thác nó để đạt được **remote code execution**.

Microsoft, với vai trò là Cơ quan Cấp phát Số hiệu CVE (CNA), đã cung cấp chi tiết đầy đủ về lỗi này. Công ty cũng đã phát hành một bản tin bảo mật nêu rõ các bản cập nhật và bước giảm thiểu khuyến nghị. Các quản trị viên được khuyến nghị áp dụng các **bản vá bảo mật** ngay lập tức để ngăn chặn nguy cơ bị xâm nhập.

Bạn có thể tìm hiểu thêm chi tiết về lỗ hổng này tại trang của Microsoft: MSRC Security Update Guide for CVE-2025-59282.

Phân tích kỹ thuật sâu sắc về cơ chế khai thác Remote Code Execution

Nguyên nhân gốc rễ của **CVE-2025-59282** nằm ở hai điểm yếu cụ thể được MITRE định nghĩa. Các điểm yếu này xảy ra trong các đối tượng COM của hộp thư đến IIS (IIS Inbox COM Objects), chịu trách nhiệm xử lý một số hoạt động bộ nhớ toàn cục.

Kết hợp Race Condition và Use-After-Free

Lỗ hổng này là sự kết hợp nguy hiểm giữa một **race condition** và một điểm yếu **use-after-free**. Một **race condition** xảy ra khi nhiều luồng hoặc tiến trình cố gắng truy cập và sửa đổi cùng một tài nguyên chia sẻ mà không có cơ chế đồng bộ hóa phù hợp.

Trong bối cảnh của **lỗ hổng CVE** này, kẻ tấn công có thể thao túng thời gian tạo và xóa đối tượng trong IIS Inbox COM Objects bằng cách gửi các yêu cầu được chế tạo đặc biệt. Sự cạnh tranh tài nguyên này cho phép kẻ tấn công kiểm soát được trạng thái của vùng nhớ.

Tiếp theo, lỗi **use-after-free** phát sinh khi chương trình cố gắng truy cập vào một vùng bộ nhớ đã được giải phóng. Kẻ tấn công lợi dụng tình trạng này để ghi đè hoặc thực thi mã độc tại vùng bộ nhớ mà tiến trình IIS tin rằng vẫn đang được sử dụng hợp lệ và an toàn.

Quy trình chiếm quyền điều khiển và thực thi mã từ xa

Khi kẻ tấn công thành công trong việc khai thác **race condition** và **use-after-free**, họ có khả năng kích hoạt việc thực thi mã do mình cung cấp. Mã này sẽ chạy trong ngữ cảnh của tiến trình IIS, dẫn đến **remote code execution**.

Khả năng thực hiện **remote code execution** mà không cần xác thực là một rủi ro cực kỳ cao. Bất kỳ kẻ tấn công nào có quyền truy cập mạng vào máy chủ bị ảnh hưởng đều có thể lợi dụng điểm yếu này.

Hậu quả của việc đạt được **remote code execution** thông qua lỗ hổng này là vô cùng nghiêm trọng. Kẻ tấn công có thể chiếm toàn quyền kiểm soát hệ thống, đánh cắp dữ liệu nhạy cảm, cài đặt mã độc hoặc ransomware, cũng như phá hoại hoạt động của hệ thống.

Đánh giá mức độ nghiêm trọng theo CVSS 3.1

Microsoft đã tự đánh giá **lỗ hổng CVE** này với điểm CVSS 3.1 cơ bản là **7.0** và điểm thời gian là **6.1**. Chuỗi vector CVSS được xác định là **CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C**.

• AV:L (Attack Vector: Local): Về mặt kỹ thuật, vector tấn công được xác định là cục bộ. Điều này ngụ ý rằng kẻ tấn công cần một số mức độ truy cập cục bộ hoặc một chuỗi tấn công phức tạp để đạt được điều kiện khai thác.
• AC:H (Attack Complexity: High): Độ phức tạp tấn công cao. Kẻ tấn công cần thực hiện các điều kiện rất cụ thể và khó để khai thác lỗ hổng thành công, thường liên quan đến yếu tố thời gian chính xác hoặc kiểm soát các tài nguyên cạnh tranh.
• PR:N (Privileges Required: None): Không yêu cầu đặc quyền. Kẻ tấn công có thể thực hiện khai thác mà không cần bất kỳ tài khoản hoặc quyền truy cập đặc biệt nào trên hệ thống mục tiêu.
• UI:R (User Interaction: Required): Có thể cần sự tương tác của người dùng để quá trình khai thác thành công. Điều này làm tăng thêm độ phức tạp trong chuỗi tấn công.
• S:U (Scope: Unchanged): Phạm vi lỗ hổng không thay đổi. Điều này có nghĩa là lỗ hổng không cho phép kẻ tấn công vượt ra khỏi phạm vi bảo mật của tài nguyên bị ảnh hưởng để tác động đến các thành phần khác.
• C:H (Confidentiality Impact: High): Tác động cao đến tính bảo mật. Khi bị khai thác, có thể dẫn đến mất mát hoàn toàn thông tin nhạy cảm.
• I:H (Integrity Impact: High): Tác động cao đến tính toàn vẹn. Kẻ tấn công có thể thay đổi hoặc phá hủy dữ liệu một cách trái phép.
• A:H (Availability Impact: High): Tác động cao đến tính sẵn sàng. Hệ thống có thể bị tê liệt hoàn toàn hoặc không thể cung cấp dịch vụ.

Mặc dù một số yếu tố như **AV:L** và **AC:H** cho thấy độ phức tạp nhất định, nhưng tác động nghiêm trọng (C:H, I:H, A:H) nếu khai thác thành công vẫn đặt **lỗ hổng CVE-2025-59282** vào nhóm rủi ro cao. Khả năng **remote code execution** là mối đe dọa lớn.

Các biện pháp giảm thiểu và **bản vá bảo mật** khuyến nghị

Để bảo vệ các máy chủ IIS khỏi **lỗ hổng CVE-2025-59282** và nguy cơ **remote code execution**, các quản trị viên cần thực hiện ngay lập tức các biện pháp sau:

Áp dụng bản vá chính thức ngay lập tức

Biện pháp quan trọng nhất là tải xuống và áp dụng bản cập nhật bảo mật do Microsoft cung cấp. **Bản vá bảo mật** này được thiết kế để khắc phục trực tiếp tình trạng **race condition** và sửa lỗi **use-after-free**, từ đó loại bỏ khả năng khai thác lỗ hổng này.

Việc áp dụng bản vá phải được ưu tiên hàng đầu. Các tổ chức cần kiểm tra trang cập nhật của Microsoft thường xuyên và triển khai bản vá lỗi trên tất cả các hệ thống IIS bị ảnh hưởng càng sớm càng tốt để đảm bảo an toàn.

Tăng cường kiểm soát truy cập mạng

Trong khi chờ đợi hoặc bổ sung cho việc áp dụng bản vá, các tường lửa mạng (firewalls) có thể được cấu hình để hạn chế quyền truy cập vào các cổng **80** (HTTP) và **443** (HTTPS). Chỉ cho phép các máy chủ, mạng nội bộ hoặc dải IP đáng tin cậy truy cập vào các cổng dịch vụ web này.

Biện pháp này giúp giảm thiểu đáng kể bề mặt tấn công của máy chủ IIS, làm cho kẻ tấn công khó tiếp cận và khai thác lỗ hổng từ bên ngoài mạng không đáng tin cậy.

Giám sát và phát hiện hoạt động bất thường

Thường xuyên theo dõi và phân tích nhật ký hoạt động của IIS để phát hiện các dấu hiệu bất thường. Bất kỳ yêu cầu nào không mong muốn nhắm mục tiêu đến các đối tượng COM, các lỗi hệ thống không giải thích được, hoặc các sự cố tiến trình không đều đặn đều cần được coi là các nỗ lực khai thác tiềm ẩn để thực hiện **remote code execution**.

Việc triển khai các hệ thống phát hiện xâm nhập (IDS/IPS) hoặc hệ thống thông tin và quản lý sự kiện bảo mật (SIEM) có thể hỗ trợ hiệu quả trong việc nhận diện sớm các hoạt động đáng ngờ và cảnh báo kịp thời.

Triển khai theo nguyên tắc đặc quyền tối thiểu

Đảm bảo rằng các máy chủ web và các dịch vụ liên quan được chạy với các đặc quyền tối thiểu cần thiết để hoạt động. Nếu một kẻ tấn công quản lý để thực hiện **remote code execution** thành công, việc hạn chế đặc quyền sẽ giúp giảm thiểu thiệt hại tiềm tàng.

Áp dụng nguyên tắc đặc quyền tối thiểu giới hạn phạm vi tác động của mã độc và ngăn chặn kẻ tấn công leo thang đặc quyền dễ dàng hơn trong hệ thống bị xâm nhập.

Bằng cách nhanh chóng áp dụng các bản cập nhật và thắt chặt các biện pháp kiểm soát mạng, các tổ chức có thể bảo vệ các máy chủ IIS của mình khỏi **lỗ hổng CVE** có rủi ro cao này, tránh các cuộc tấn công **remote code execution** và bảo toàn tính toàn vẹn của dữ liệu cũng như tính sẵn sàng của dịch vụ.