Một lỗ hổng Samba mới được công bố trong script hook của máy chủ WINS cho phép những kẻ tấn công không xác thực chạy các lệnh tùy ý trên các bộ điều khiển miền bị ảnh hưởng.

Lỗ hổng này, được theo dõi là CVE-2025-10230, mang điểm CVSSv3.1 tối đa là 10.0.

Điểm số này phản ánh sự dễ dàng khai thác và tác động tàn khốc của nó đối với tính bảo mật, tính toàn vẹn và tính sẵn có của hệ thống.

CVE-2025-10230: Chi tiết kỹ thuật về lỗ hổng Samba

Cơ chế khai thác và nguyên nhân gốc

Vấn đề phát sinh khi tính năng hỗ trợ WINS của Samba được kích hoạt.

Đồng thời, một bộ điều khiển miền phải chỉ định tham số wins hook trong file cấu hình smb.conf của nó.

Thông tin này được báo cáo chi tiết bởi Samba tại trang bảo mật chính thức của họ.

Trong những điều kiện này, bất kỳ thay đổi nào đối với một tên WINS đều sẽ kích hoạt chương trình được chỉ định.

Quá trình này diễn ra mà không có bất kỳ bước kiểm tra hoặc xác thực đầu vào hợp lệ nào.

Do máy chủ WINS truyền trực tiếp các tên này vào một lệnh shell, kẻ tấn công có thể tạo một tên NetBIOS độc hại.

Tên độc hại này chứa các ký tự đặc biệt của shell (shell metacharacters).

Một khi tên này được xử lý, payload đã chèn sẽ được thực thi trên máy chủ.

Payload này hoạt động với quyền hệ thống (system-level permissions), mang lại khả năng kiểm soát toàn diện.

Theo mặc định, tính năng wins support bị vô hiệu hóa.

Tuy nhiên, nhiều quản trị viên kích hoạt nó để tích hợp các ứng dụng kế thừa (legacy applications).

Phạm vi ảnh hưởng của lỗ hổng Samba

Lỗ hổng CVE-2025-10230 ảnh hưởng đến tất cả các phiên bản Samba từ 4.0 trở đi.

Chỉ những hệ thống đang chạy Samba với vai trò Bộ điều khiển miền Active Directory (AD Domain Controller) và có kích hoạt hỗ trợ WINS mới bị ảnh hưởng.

Các vai trò không phải AD, hoặc các máy chủ độc lập (standalone) hay máy chủ thành viên (member servers).

Các hệ thống này sử dụng một triển khai máy chủ WINS khác và do đó, không bị ảnh hưởng bởi lỗ hổng này.

Đánh giá rủi ro và hậu quả của remote code execution

Khả năng khai thác

Tính chất nghiêm trọng của lỗ hổng Samba này xuất phát từ sự kết hợp của nhiều yếu tố then chốt.

Đó là khả năng tiếp xúc mạng, không yêu cầu xác thực, và quyền kiểm soát hệ thống hoàn toàn sau khi khai thác thành công.

Những kẻ tấn công từ xa không cần thông tin đăng nhập hợp lệ để khởi động cuộc tấn công.

Không yêu cầu bất kỳ tương tác nào từ người dùng ngoài việc gửi một yêu cầu WINS được chế tạo đặc biệt.

Thông tin chi tiết về CVE này có thể được tìm thấy tại NVD của NIST.

Tác động tiềm tàng đến an ninh mạng

Sự thành công trong khai thác lỗ hổng này mở ra nguy cơ lớn cho tổ chức.

Các rủi ro bao gồm đánh cắp dữ liệu nhạy cảm, cài đặt backdoor lâu dài.

Kẻ tấn công cũng có thể triển khai mã độc tống tiền (ransomware) trên toàn bộ mạng.

Hoặc thực hiện chiếm quyền kiểm soát hoàn toàn cơ sở hạ tầng mạng của nạn nhân.

Chuỗi vector CVSSv3.1 cao (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H) nhấn mạnh khả năng đọc và ghi bộ nhớ ở cấp độ root.

Điều này gây ra tác động nghiêm trọng nhất đối với tính bảo mật và tính toàn vẹn của hệ thống.

Biện pháp giảm thiểu và bản vá bảo mật

Cập nhật bản vá bảo mật ngay lập tức để khắc phục lỗ hổng Samba

Các tổ chức đang chạy Samba làm bộ điều khiển miền với WINS được bật.

Cần coi lỗ hổng CVE-2025-10230 này là một ưu tiên khẩn cấp và yêu cầu hành động ngay lập tức.

Các bản vá đã được phát hành cho các phiên bản Samba 4.23.2, 4.22.5, và 4.21.9.

Quản trị viên nên nâng cấp lên một trong các phiên bản này ngay lập tức.

Hoặc áp dụng bản vá bảo mật chính thức có sẵn trên trang bảo mật của Samba.

Các giải pháp thay thế tạm thời

Trong các môi trường mà việc cập nhật không thể thực hiện ngay lập tức.

Việc loại bỏ hoặc vô hiệu hóa tham số wins hook cung cấp một biện pháp khắc phục hiệu quả.

Điều này chỉ có hiệu lực khi tính năng hỗ trợ WINS vẫn được bật trong hệ thống.

Cụ thể, việc đặt rõ ràng cấu hình sau trong file smb.conf sẽ vô hiệu hóa lỗ hổng:

wins hook = 

Cấu hình này ngăn chặn việc gọi các lệnh độc hại thông qua script hook.

Một phương án khác là vô hiệu hóa hoàn toàn hỗ trợ WINS bằng cách đặt wins support = no.

Điều này sẽ khôi phục hành vi an toàn mặc định của Samba.

Tuy nhiên, nó có thể làm gián đoạn việc phân giải tên cho các ứng dụng kế thừa vẫn phụ thuộc vào WINS.

Kiểm tra và khuyến nghị dài hạn cho an ninh mạng

Quản trị viên nên chủ động kiểm tra cấu hình của các bộ điều khiển miền của mình.

Xác minh rằng không có các hook không cần thiết nào đang tồn tại và hoạt động.

Các phiên bản Samba trong tương lai có thể loại bỏ hoàn toàn chức năng hook WINS đã lỗi thời.

Do đó, các nhóm đang lên kế hoạch triển khai dài hạn nên xem xét lại sự phụ thuộc vào cơ chế này để đảm bảo an ninh mạng.

Tóm lại, lỗ hổng Samba CVE-2025-10230 là một rủi ro nghiêm trọng đối với bất kỳ tổ chức nào sử dụng Samba AD Domain Controllers với hỗ trợ WINS.

Sự kết hợp giữa khả năng khai thác dễ dàng qua mạng và thực thi mã độc hoàn toàn (remote code execution) đòi hỏi hành động tức thì từ phía quản trị viên.

Bằng cách áp dụng các bản vá bảo mật hoặc vô hiệu hóa cấu hình dễ bị tấn công, quản trị viên có thể bảo vệ an ninh mạng của họ chống lại việc chiếm quyền điều khiển từ xa và duy trì tính toàn vẹn của các dịch vụ thư mục quan trọng.