Các nhà nghiên cứu bảo mật đang phát đi cảnh báo khẩn cấp về việc tin tặc đang tích cực khai thác một lỗ hổng remote code execution (RCE) nghiêm trọng trong Microsoft Windows Server Update Services (WSUS). Lỗ hổng này, được định danh là CVE-2025-59287, cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý trên các máy chủ dễ bị tổn thương, và bằng chứng cho thấy các cuộc tấn công này đang được thực hiện thủ công, một kỹ thuật được gọi là trinh sát “hands-on-keyboard”.

Mô tả Lỗ hổng Remote Code Execution (CVE-2025-59287)

Lỗ hổng CVE-2025-59287 được xác định là một lỗi deserialization. Nghiên cứu chi tiết về loại lỗ hổng này đã được Hawktrace công bố. Mặc dù các bằng chứng khái niệm (proof-of-concept – PoC) ban đầu chỉ minh họa việc kích hoạt một ứng dụng máy tính đơn giản, kẻ tấn công đã nhanh chóng vũ khí hóa nó để phục vụ các mục đích độc hại và phức tạp hơn.

Lỗi deserialization xảy ra khi một ứng dụng không xử lý đúng cách dữ liệu đầu vào đã được mã hóa hoặc tuần tự hóa. Điều này cho phép kẻ tấn công chèn các đối tượng độc hại vào luồng dữ liệu. Khi hệ thống cố gắng “giải mã” (deserialize) các đối tượng này, mã độc hại sẽ được thực thi trên máy chủ.

Trong bối cảnh của WSUS, lỗ hổng này cho phép kẻ tấn công gửi các đối tượng .NET độc hại qua các kênh giao tiếp của WSUS. Lợi dụng cách WSUS xử lý các thông điệp và cấu trúc dữ liệu nội bộ, mã độc từ các đối tượng này có thể được kích hoạt, dẫn đến việc thực thi mã từ xa trên máy chủ WSUS bị ảnh hưởng. Đây là một lỗ hổng CVE nghiêm trọng, tiềm ẩn nguy cơ cao đối với an ninh mạng.

Phân tích Phương thức Khai thác và Tác động

Phát hiện Khai thác và Dấu hiệu Thỏa hiệp (IOCs)

Hoạt động khai thác thực tế đầu tiên được phát hiện bởi công ty an ninh mạng Eye Security, khi họ nhận được một cảnh báo quan trọng từ hệ thống WSUS của một khách hàng. Cảnh báo này cho thấy một sự kiện bất thường: tiến trình whoami.exe đã được thực thi bởi tiến trình w3wp.exe.

Đây là một dấu hiệu mạnh mẽ của sự tồn tại của một web shell độc hại hoặc một hình thức xâm nhập tương tự. Việc điều tra sâu hơn đã tiết lộ một chuỗi các lệnh được thực thi với khoảng cách vài giây giữa mỗi lệnh, gợi ý về một kẻ tấn công là người thật (human attacker) đang điều khiển, chứ không phải một script tự động.

• Tiến trình bị ảnh hưởng: Thực thi whoami.exe.
• Tiến trình cha độc hại:w3wp.exe (IIS Worker Process).
• Tính chất hoạt động: Thực thi lệnh thủ công, khoảng cách thời gian giữa các lệnh cho thấy tương tác trực tiếp của kẻ tấn công.
• Payload: Payload được mã hóa Base64 chứa tệp thực thi .NET.

Cơ chế Khai thác Chi tiết Remote Code Execution

Phân tích nhật ký tấn công đã cho thấy sự xuất hiện của một payload được mã hóa Base64. Payload này chứa một tệp thực thi .NET độc hại, được thiết kế để cung cấp cho kẻ tấn công khả năng thực thi các lệnh. Cơ chế hoạt động cho phép kẻ tấn công truyền các lệnh này thông qua các tiêu đề yêu cầu HTTP, từ đó chiếm quyền kiểm soát máy chủ WSUS bị xâm nhập.

Kỹ thuật khai thác remote code execution này thường được sử dụng để thiết lập một web shell hoặc backdoor, cung cấp cho kẻ tấn công quyền truy cập liên tục và khả năng thực thi các lệnh tùy ý. Việc thực thi các lệnh CLI cơ bản như whoami.exe là một trong những bước đầu tiên của kẻ tấn công để xác định đặc quyền hiện tại trên hệ thống sau khi đã khai thác thành công lỗ hổng RCE.

Ví dụ giả định về cách một lệnh có thể được gửi qua tiêu đề HTTP (cơ chế chính xác có thể khác tùy thuộc vào exploit):

GET /ClientWebService/client.asmx HTTP/1.1
Host: vulnerable-wsus-server.com
X-Command: Q21kLmV4ZSAvYyAid2hvYW1pIg==
Content-Length: 0

Trong ví dụ trên, Q21kLmV4ZSAvYyAid2hvYW1pIg== là chuỗi Base64 của cmd.exe /c "whoami". Kẻ tấn công lợi dụng cơ chế deserialization để giải mã và thực thi lệnh này thông qua một đầu vào được xử lý bởi WSUS.

Ảnh hưởng của việc chiếm quyền điều khiển một máy chủ WSUS là vô cùng lớn. WSUS là một thành phần cốt lõi trong quản lý mạng, chịu trách nhiệm triển khai các bản cập nhật bảo mật và tính năng trên toàn bộ hệ thống của một tổ chức. Do đó, việc máy chủ WSUS bị xâm nhập có thể dẫn đến các cuộc tấn công lan rộng khắp mạng, bao gồm cả việc triển khai mã độc tống tiền (ransomware) trên nhiều máy trạm và máy chủ.

Biện pháp Phòng ngừa và Phản ứng Khẩn cấp

Một cuộc quét internet đã tiết lộ khoảng 8.000 máy chủ WSUS đang phơi bày các cổng 8530 hoặc 8531 ra ngoài internet công cộng. Mặc dù chưa có xác nhận cụ thể về số lượng máy chủ dễ bị tổn thương trong số này, đây vẫn là một rủi ro bảo mật đáng kể và là mục tiêu tiềm năng cho các cuộc tấn công remote code execution.

Để đối phó với các cuộc khai thác đang diễn ra, Microsoft đã phát hành một bản vá bảo mật ngoài luồng (out-of-band patch), mã hiệu KB5070883, nhằm khắc phục lỗ hổng CVE-2025-59287. Thông tin chi tiết về việc phát hiện và bản vá có thể được tham khảo tại nguồn uy tín: Eye Security Research.

Các chuyên gia bảo mật đặc biệt khuyến cáo tất cả các tổ chức cần áp dụng bản vá này ngay lập tức. Việc trì hoãn cập nhật có thể để lại cửa hậu cho kẻ tấn công thực hiện chiếm quyền điều khiển hệ thống.

Khuyến nghị Bảo mật Chi tiết

• Cập nhật bản vá KB5070883 ngay lập tức: Đây là biện pháp cấp bách nhất để bảo vệ máy chủ WSUS khỏi các cuộc tấn công khai thác lỗ hổng deserialization và remote code execution này. Đảm bảo rằng tất cả các máy chủ WSUS trong môi trường của bạn đều được cập nhật lên phiên bản vá lỗi mới nhất.
• Cô lập máy chủ WSUS: Đảm bảo rằng máy chủ WSUS không tiếp xúc trực tiếp với internet công cộng. Sử dụng tường lửa và cấu hình mạng phù hợp để hạn chế quyền truy cập chỉ trong mạng nội bộ hoặc qua Mạng riêng ảo (VPN). Việc này giảm thiểu bề mặt tấn công đáng kể.
• Triển khai Giải pháp EDR mạnh mẽ: Đảm bảo các giải pháp Endpoint Detection and Response (EDR) mạnh mẽ được triển khai và cấu hình đúng cách trên tất cả các máy chủ, bao gồm WSUS. EDR giúp giám sát các hoạt động đáng ngờ, phát hiện sớm các dấu hiệu xâm nhập và cung cấp khả năng phản ứng nhanh chóng.
• Giám sát nhật ký hệ thống: Thường xuyên kiểm tra nhật ký hệ thống và nhật ký ứng dụng của WSUS. Đặc biệt chú ý đến các hoạt động bất thường, chẳng hạn như việc thực thi các tiến trình không mong muốn bởi w3wp.exe hoặc các yêu cầu HTTP lạ đến các đường dẫn không điển hình của WSUS.
• Kiểm tra cấu hình bảo mật: Rà soát lại cấu hình bảo mật của WSUS và các máy chủ liên quan. Đảm bảo tuân thủ các nguyên tắc bảo mật tốt nhất (best practices), bao gồm sử dụng tài khoản có đặc quyền tối thiểu (least privilege) và tắt các dịch vụ không cần thiết.
• Đào tạo và nâng cao nhận thức: Đảm bảo đội ngũ IT và bảo mật được cập nhật về các mối đe dọa mới nhất và các biện pháp phòng vệ cần thiết để đối phó với các cuộc tấn công có tính chất “hands-on-keyboard” như thế này.