Một lỗ hổng CVE bảo mật nghiêm trọng đã được vá trong Microsoft Windows Cloud Minifilter, giải quyết một race condition cho phép kẻ tấn công leo thang đặc quyền và tạo tệp ở bất kỳ đâu trên hệ thống, tiềm ẩn nguy cơ chiếm quyền điều khiển.

Lỗ hổng này, được định danh là CVE-2025-55680, được các nhà nghiên cứu bảo mật tại Exodus Intelligence phát hiện vào tháng 3 năm 2024 và đã được Microsoft phát hành bản vá bảo mật chính thức vào tháng 10 năm 2025.

Sự tồn tại của lỗ hổng CVE-2025-55680 nằm sâu trong trình điều khiển Windows Cloud Minifilter (cldflt.sys).

Trình điều khiển này là một thành phần cốt lõi trong Windows, cung cấp chức năng hệ thống tệp cần thiết cho các ứng dụng đám mây.

Ví dụ, các dịch vụ như OneDrive dựa vào cldflt.sys để tích hợp liền mạch hoạt động đồng bộ hóa vào hệ thống tệp cục bộ.

Cụ thể, lỗi phát sinh trong hàm nội bộ HsmpOpCreatePlaceholders() của trình điều khiển.

Hàm này chịu trách nhiệm xử lý các yêu cầu tạo tệp placeholder trong các thư mục được đồng bộ hóa, một chức năng cốt lõi giúp các dịch vụ đám mây quản lý dữ liệu hiệu quả.

Tệp placeholder là các tệp đặc biệt, nhỏ gọn được sử dụng bởi các dịch vụ đồng bộ hóa đám mây.

Chúng cho phép hệ thống hiển thị tệp từ đám mây cục bộ mà không cần tải toàn bộ nội dung cho đến khi người dùng hoặc ứng dụng thực sự truy cập chúng, tối ưu hóa không gian lưu trữ và băng thông.

Vấn đề bảo mật cốt lõi xuất phát từ việc xác thực tên tệp không đúng cách và không kịp thời trong quá trình tạo các tệp placeholder này.

Kỹ thuật Khai thác Điểm yếu Time-of-Check Time-of-Use (TOCTOU)

Khi người dùng hoặc ứng dụng khởi tạo yêu cầu tạo một tệp placeholder, hệ thống sẽ thực hiện các kiểm tra xác thực ban đầu.

Mục tiêu của các kiểm tra này là để đảm bảo rằng tên tệp không chứa các ký tự bị cấm, chẳng hạn như dấu gạch chéo ngược (backslash) hoặc dấu hai chấm (colon), nhằm ngăn chặn các đường dẫn tệp không hợp lệ hoặc độc hại.

Tuy nhiên, các nhà nghiên cứu đã phát hiện một khoảng thời gian nhỏ nhưng dễ bị tổn thương, tồn tại giữa thời điểm tên tệp được xác thực và thời điểm tệp thực sự được tạo và ghi vào hệ thống.

Trong khoảng thời gian ngắn ngủi và không an toàn này, kẻ tấn công có thể chèn vào và sửa đổi dữ liệu của tên tệp trong bộ nhớ.

Việc này cho phép chúng vượt qua thành công các kiểm tra bảo mật ban đầu đã được thực hiện, tạo điều kiện cho các hành vi độc hại.

Kẻ tấn công có thể khai thác lỗ hổng CVE TOCTOU này bằng cách thực hiện các thao tác đồng bộ thông qua nhiều luồng (threads) chạy song song.

Một số luồng sẽ liên tục gửi yêu cầu tạo placeholder với các tên tệp ban đầu có vẻ vô hại và hợp lệ, nhằm kích hoạt quá trình xác thực.

Trong khi đó, các luồng khác được thiết kế để nhanh chóng thay đổi các ký tự trong vùng đệm tên tệp trong bộ nhớ của tiến trình.

Nếu sự thay đổi này được căn thời gian chính xác (race condition), hành vi sửa đổi tên tệp độc hại sẽ xảy ra sau khi kiểm tra xác thực nhưng trước khi tệp được ghi vào đĩa vật lý.

Kết quả là, kẻ tấn công có khả năng tạo tệp trong các thư mục hệ thống được bảo vệ cao.

Một ví dụ điển hình là thư mục C:WindowsSystem32, nơi chứa nhiều tệp nhị phân quan trọng của hệ điều hành, thường không thể ghi bởi người dùng thông thường.

Bằng cách này, chúng có thể đạt được khả năng chiếm quyền điều khiển không mong muốn, mở rộng phạm vi tấn công.

Leo Thang Đặc Quyền và Nguy Cơ Chiếm Quyền Điều Khiển Hệ Thống

Việc tạo thành công các tệp DLL độc hại trong các thư mục hệ thống như C:WindowsSystem32 mở ra một con đường rõ ràng cho kẻ tấn công.

Chúng có thể sử dụng các kỹ thuật DLL side-loading, vốn là một phương pháp đã biết để thực thi mã tùy ý với đặc quyền nâng cao.

Đặc biệt nguy hiểm, kẻ tấn công có thể đạt được đặc quyền SYSTEM, đây là mức đặc quyền cao nhất và mạnh nhất trên bất kỳ hệ thống Windows nào.

Với đặc quyền SYSTEM, kẻ tấn công có thể chiếm quyền điều khiển hoàn toàn hệ thống, thực hiện bất kỳ thao tác nào mà không gặp phải hạn chế về quyền.

Một điểm đáng lưu ý là cuộc tấn công này chỉ yêu cầu đặc quyền cấp thấp ban đầu để khởi động.

Yếu tố này khiến lỗ hổng CVE-2025-55680 trở nên đặc biệt nguy hiểm đối với các môi trường có nhiều người dùng hoặc các hệ thống nơi đặc quyền thấp dễ bị xâm phạm, làm tăng rủi ro bảo mật tổng thể.

Chi tiết Kỹ thuật về Hoạt động của Trình điều khiển và Lỗ hổng CVE-2025-55680

Về mặt kỹ thuật chuyên sâu, lỗ hổng CVE này ảnh hưởng trực tiếp đến cách trình điều khiển Cloud Files Minifilter xử lý các lệnh gọi tới hàm API CfCreatePlaceholders().

Hàm CfCreatePlaceholders() là một phần thiết yếu của khung Cloud Files API của Microsoft.

Nó được các nhà cung cấp đồng bộ hóa đám mây sử dụng để tạo hiệu quả các tệp placeholder, đại diện cho nội dung được lưu trữ từ xa trên các dịch vụ đám mây.

Trình điều khiển Cloud Minifilter xử lý các yêu cầu tạo placeholder thông qua một mã điều khiển I/O cụ thể là 0x903BC.

Các tham số đi kèm với mã điều khiển này đóng vai trò quan trọng trong việc xác định chi tiết các thao tác tạo placeholder được yêu cầu.

Các nhà nghiên cứu bảo mật đã chỉ ra rằng lỗ hổng CVE-2025-55680 có mối liên hệ mật thiết với một lỗ hổng trước đó đã được biết đến là CVE-2020-17136.

Lỗ hổng CVE-2020-17136 trước đây cũng liên quan đến trình điều khiển này và đã được Microsoft vá để khắc phục.

Bản vá được phát hành cho CVE-2020-17136 đã giới thiệu các kiểm tra xác thực tên tệp mới nhằm ngăn chặn các cuộc tấn công tương tự trong tương lai.

Tuy nhiên, việc triển khai các kiểm tra này lại vô tình chứa điểm yếu race condition.

Chính điểm yếu tiềm ẩn này đã tạo điều kiện cho sự xuất hiện và khai thác thành công của CVE-2025-55680, minh chứng cho sự phức tạp của các vấn đề bảo mật liên quan đến thời gian thực thi.

Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật Khẩn cấp

Để bảo vệ hệ thống khỏi nguy cơ bị khai thác lỗ hổng CVE-2025-55680, các quản trị viên hệ thống cần thực hiện các hành động khẩn cấp và dứt khoát.

Điều quan trọng hàng đầu là phải đảm bảo tất cả các hệ thống Windows nhận được và cài đặt các bản vá bảo mật được phát hành vào tháng 10 năm 2025.

Các bản cập nhật này chứa các sửa lỗi cần thiết để khắc phục triệt để điểm yếu race condition trong trình điều khiển Cloud Minifilter.

Các tổ chức đang sử dụng dịch vụ đồng bộ hóa đám mây, đặc biệt là những hệ thống đã cấu hình thư mục gốc đồng bộ (sync root directories), nên ưu tiên cao việc áp dụng bản vá bảo mật này.

Việc có các thư mục gốc đồng bộ được cấu hình là một trong những điều kiện tiên quyết cần thiết cho việc khai thác thành công lỗ hổng CVE này, làm tăng mức độ rủi ro.