Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã phát đi cảnh báo khẩn cấp về việc đang có các hoạt động khai thác tích cực một lỗ hổng CVE nghiêm trọng ảnh hưởng đến dịch vụ Windows Server Update Service (WSUS).

CISA đã cập nhật cảnh báo vào ngày 29 tháng 10 năm 2025, bổ sung thông tin quan trọng về cách xác định các hệ thống dễ bị tổn thương và phát hiện các mối đe dọa tiềm ẩn.

Thông tin chi tiết về CVE-2025-59287

Microsoft đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục CVE-2025-59287, một lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE).

Lỗ hổng này ảnh hưởng đến WSUS trên nhiều phiên bản Windows Server, bao gồm 2012, 2016, 2019, 2022 và 2025.

Lỗ hổng CVE này xuất hiện sau khi một bản vá trước đó không giải quyết triệt để vấn đề bảo mật, khiến các hệ thống vẫn có thể bị tấn công.

Mức độ nghiêm trọng của lỗ hổng này là rất cao. Kẻ tấn công không cần xác thực có thể khai thác lỗ hổng này để đạt được quyền thực thi mã từ xa với đặc quyền cấp hệ thống (system-level privileges).

Điều này cho phép kẻ tấn công kiểm soát hoàn toàn các máy chủ bị ảnh hưởng.

Xác nhận khai thác thực tế

Vào ngày 24 tháng 10 năm 2025, CISA đã thêm CVE-2025-59287 vào Danh mục các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities Catalog) của mình, xác nhận việc khai thác tích cực trong thực tế.

CISA khuyến nghị mạnh mẽ các tổ chức hành động ngay lập tức.

Xác định hệ thống WSUS bị ảnh hưởng

Bước đầu tiên là xác định các máy chủ WSUS dễ bị tổn thương. Điều này bao gồm kiểm tra xem vai trò WSUS Server Role có được bật hay không và liệu các cổng TCP 8530 hoặc TCP 8531 có đang mở hay không.

Quản trị viên có thể xác minh việc cài đặt WSUS bằng cách chạy lệnh PowerShell hoặc kiểm tra Server Manager Dashboard.

Get-WindowsFeature -Name UpdateServices

Biện pháp giảm thiểu và bảo vệ

Các tổ chức phải áp dụng bản cập nhật bảo mật ngoài băng tần (out-of-band security update) được phát hành vào ngày 23 tháng 10 năm 2025 cho tất cả các máy chủ bị ảnh hưởng đã được xác định.

Yêu cầu khởi động lại hệ thống sau khi cài đặt để hoàn tất việc giảm thiểu rủi ro.

Đối với các tổ chức không thể triển khai bản cập nhật ngay lập tức, CISA khuyến nghị tạm thời vô hiệu hóa vai trò WSUS Server Role hoặc chặn lưu lượng truy cập đến các cổng nghe mặc định của WSUS.

Cập nhật và khởi động lại toàn bộ hệ thống

Sau khi bảo mật các máy chủ WSUS, các tổ chức nên áp dụng các bản cập nhật cho tất cả các máy chủ Windows còn lại và khởi động lại chúng để đảm bảo bảo vệ hoàn toàn.

Giám sát và phát hiện xâm nhập

Ngoài việc vá lỗi, CISA khuyến nghị giám sát các dấu hiệu khai thác. Các đội ngũ bảo mật nên điều tra các hoạt động đáng ngờ và các tiến trình con được tạo ra với đặc quyền cấp hệ thống.

Đặc biệt chú ý đến các tiến trình có nguồn gốc từ wsusservice.exe hoặc w3wp.exe. Tuy nhiên, cần lưu ý rằng các tiến trình này cũng có thể đại diện cho hoạt động hệ thống hợp pháp.

Các tổ chức nên giám sát các tiến trình PowerShell lồng nhau sử dụng các lệnh mã hóa base64, mà kẻ tấn công thường sử dụng để che giấu ý đồ.

Các nền tảng bảo mật điểm cuối (Endpoint Security Platforms) cần được cấu hình để cảnh báo về hành vi tiến trình bất thường và các nỗ lực leo thang đặc quyền.

Tài nguyên và hướng dẫn bổ sung

CISA đã cập nhật hướng dẫn của mình để bao gồm các tài nguyên từ Huntress và Palo Alto Networks Unit 42.

Các tổ chức này đã công bố phân tích kỹ thuật chi tiết và hướng dẫn phát hiện cho CVE-2025-59287.

Lỗ hổng này gây ra rủi ro đáng kể cho các tổ chức đang chạy cơ sở hạ tầng Windows Server.

Với việc khai thác tích cực đã được xác nhận, việc chậm trễ trong việc vá lỗi có thể dẫn đến việc hệ thống bị xâm nhập hoàn toàn và tiềm ẩn nguy cơ di chuyển ngang qua các mạng.

Các đội ngũ bảo mật nên ưu tiên bản cập nhật này trong lịch trình quản lý bản vá của họ để tránh các mối đe dọa mạng nghiêm trọng.