Vào tháng 10 năm 2025, Microsoft đã công bố bản vá khắc phục một lỗ hổng race condition nghiêm trọng ảnh hưởng đến driver Windows Cloud Files Minifilter. Điểm yếu này, được định danh là CVE-2025-55680, được phát hiện lần đầu vào tháng 3 năm 2024. Nó đại diện cho một mối lo ngại bảo mật đáng kể đối với các hệ thống sử dụng OneDrive và các dịch vụ đồng bộ hóa đám mây tương tự.

Tổng quan về Lỗ hổng CVE-2025-55680

Lỗ hổng CVE-2025-55680 tồn tại trong hàm HsmpOpCreatePlaceholders() bên trong driver cldflt.sys. Driver này chịu trách nhiệm quản lý quá trình tạo file giữ chỗ (placeholder file) trong các thư mục đám mây được đồng bộ hóa.

Race condition đặc biệt này tạo ra một khoảng thời gian hẹp nhưng có thể bị khai thác. Trong khoảng thời gian này, kẻ tấn công có thể vượt qua các kiểm tra xác thực tên file và tạo file ở bất kỳ đâu trên hệ thống, từ đó đạt được privilege escalation (leo thang đặc quyền).

Chi tiết Kỹ thuật: Race Condition trong cldflt.sys

Điểm yếu này bắt nguồn từ cách Windows Cloud Files Minifilter xác thực tên file trước khi tạo các file giữ chỗ. Khi người dùng yêu cầu tạo file giữ chỗ thông qua API CfCreatePlaceholders, driver kernel sẽ thực hiện quá trình xác thực.

Mục đích của việc xác thực là để đảm bảo tên file không chứa ký tự gạch chéo ngược () hoặc dấu hai chấm (:). Đây là một biện pháp kiểm tra được triển khai sau bản vá cho CVE-2020-17136 trước đó.

Tuy nhiên, một khoảng thời gian gián đoạn (timing gap) quan trọng vẫn tồn tại giữa bước xác thực này và thao tác tạo file thực tế thông qua hàm FltCreateFileEx2(). Kẻ tấn công có thể lợi dụng khoảng thời gian này để thay đổi tên file sau khi xác thực đã thành công nhưng trước khi file được tạo.

Bằng cách này, một tên file hợp lệ có thể bị biến đổi thành một payload tấn công path traversal. Điều này cho phép ghi file vào các vị trí tùy ý trên hệ thống.

Cơ chế Khai thác Lỗ hổng Privilege Escalation

Quá trình khai thác lỗ hổng CVE-2025-55680 bao gồm nhiều bước được thực hiện cẩn thận, tận dụng hành vi ánh xạ bộ nhớ trong kernel.

Giai đoạn 1: Chuẩn bị yêu cầu và xác thực

Khi xử lý các yêu cầu tạo file giữ chỗ, minifilter sẽ ánh xạ vùng đệm user-space chứa thông tin placeholder vào không gian địa chỉ ảo của kernel. Việc ánh xạ này tạo ra một vùng bộ nhớ chia sẻ. Các ứng dụng ở chế độ người dùng có thể tiếp tục sửa đổi dữ liệu ngay cả sau khi kernel đã xác thực nó.

Kẻ tấn công chuẩn bị một yêu cầu tạo file giữ chỗ được thiết kế đặc biệt với một tên file vô hại. Tên file này sẽ vượt qua các kiểm tra xác thực ban đầu.

Giai đoạn 2: Tấn công Timing Gap

Giữa quy trình xác thực (tại một điểm đánh dấu lệnh cụ thể) và lời gọi tạo file (tại một điểm đánh dấu khác), kẻ tấn công nhanh chóng sửa đổi chuỗi tên file thông qua vùng bộ nhớ đã ánh xạ. Các ký tự path traversal được chèn vào tên file.

Ví dụ, bằng cách thay đổi JUSTASTRING thành JUSTASTRINGnewfile.dll sau khi quá trình xác thực đã hoàn tất, kẻ tấn công có thể sử dụng các junction hoặc symbolic link. Điều này cho phép tạo file trong các thư mục được bảo vệ mà thông thường người dùng không thể truy cập.

Nếu thời gian tấn công được căn chỉnh chính xác, kernel sẽ tạo file sử dụng đường dẫn đã sửa đổi. Điều này dẫn đến việc ghi file vào một vị trí tùy ý. Vì FltCreateFileEx2() được gọi mà không có cờ xác thực symlink và sử dụng các thuộc tính handle của kernel, thao tác này hoàn tất với đặc quyền nâng cao, bỏ qua các kiểm soát truy cập thông thường của user-mode. Thông tin này đã được báo cáo chi tiết bởi Exodus Intelligence tại blog của họ.

Kết quả: Chiếm quyền kiểm soát file

Kỹ thuật này cho phép đặt các file trái phép vào các vị trí quan trọng của hệ thống. Đây là một cơ chế hiệu quả để đạt được privilege escalation. Khả năng ghi file tùy ý cho phép kẻ tấn công tạo hoặc sửa đổi các file nhị phân của hệ thống, file cấu hình, hoặc thậm chí chèn mã độc vào các thư mục khởi động.

Điều này có thể dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn hoặc thực thi mã từ xa với đặc quyền cao nhất.

Ảnh hưởng và Biện pháp Khắc phục

Việc phát hiện ra lỗ hổng CVE-2025-55680 này một lần nữa nhấn mạnh những thách thức liên tục trong việc bảo mật các driver hệ thống file cấp kernel. Đặc biệt, những thách thức này nổi bật trong các kịch bản liên quan đến bộ nhớ chia sẻ giữa không gian người dùng và kernel.

Các tổ chức đang vận hành hệ thống Windows với Cloud Files Minifilter được bật phải đảm bảo rằng hệ thống của họ được cập nhật đầy đủ. Cụ thể, cần áp dụng các bản vá bảo mật được phát hành vào tháng 10 năm 2025. Việc này là cần thiết để giảm thiểu rủi ro từ điểm yếu này một cách hiệu quả.

Việc áp dụng các bản vá kịp thời là bước quan trọng để bảo vệ chống lại các cuộc tấn công khai thác lỗ hổng CVE-2025-55680 và ngăn chặn việc leo thang đặc quyền trái phép trên các hệ thống quan trọng. Các quản trị viên hệ thống nên ưu tiên quá trình update vá lỗi này để duy trì an ninh mạng.