Elastic đã phát hành một cảnh báo bảo mật, đề cập đến một lỗ hổng CVE-2025-37735 nghiêm trọng trong Elastic Defend có thể cho phép kẻ tấn công leo quyền cục bộ trên các hệ thống Windows. Lỗ hổng này xuất phát từ việc bảo toàn quyền truy cập tệp không đúng cách trong dịch vụ Defend và đặt ra một rủi ro bảo mật nghiêm trọng cho các tổ chức dựa vào nền tảng bảo vệ điểm cuối này.

Tổng quan về Lỗ hổng CVE-2025-37735

Bản chất kỹ thuật của lỗ hổng

Lỗ hổng tồn tại trong cách Elastic Defend xử lý quyền truy cập tệp trên các máy chủ Windows. Khi dịch vụ Defend, vốn chạy với đặc quyền cấp SYSTEM, xử lý các tệp trên hệ thống, nó không bảo toàn cài đặt quyền ban đầu của các tệp một cách chính xác.

Việc xử lý quyền không đúng cách này tạo ra một vectơ tấn công tiềm năng. Điều này có thể cho phép các kẻ tấn công cục bộ xóa các tệp tùy ý trên hệ thống bị xâm nhập, ảnh hưởng đến tính toàn vẹn của dữ liệu và hệ điều hành.

Cơ chế khai thác và ảnh hưởng

Trong các kịch bản cụ thể, khả năng xóa các tệp hệ thống quan trọng có thể dẫn đến leo quyền cục bộ. Điều này cho phép một kẻ tấn công với quyền truy cập người dùng hạn chế có thể giành được quyền kiểm soát quản trị hoàn toàn đối với máy bị ảnh hưởng.

Như vậy, một vấn đề xử lý tệp biến thành một lỗ hổng leo quyền hoàn chỉnh, đe dọa tư thế an ninh của các tổ chức dễ bị tổn thương. Mối đe dọa này yêu cầu các biện pháp khắc phục kịp thời và hiệu quả.

Các phiên bản bị ảnh hưởng và đánh giá CVSS

Danh sách các phiên bản dễ bị khai thác

Lỗ hổng CVE-2025-37735 này ảnh hưởng đến nhiều phiên bản của Elastic Defend. Cụ thể, người dùng đang chạy các phiên bản 8.19.5 trở xuống đều có nguy cơ. Tương tự, các phiên bản từ 9.0.0 đến 9.1.5 cũng nằm trong danh sách các phiên bản dễ bị tấn công.

Các tổ chức sử dụng những phiên bản này cần xem xét đây là một hạng mục khắc phục ưu tiên. Lỗ hổng này có thể bị khai thác bởi bất kỳ người dùng cục bộ nào trên hệ thống, làm tăng nguy cơ xâm nhập nội bộ hoặc leo thang từ các cuộc tấn công ban đầu.

Điểm CVSS v3.1 và phân tích chi tiết

Mức độ nghiêm trọng của lỗ hổng CVE-2025-37735 được phản ánh rõ ràng qua điểm bảo mật mà Elastic đã gán. Lỗ hổng này có điểm CVSS v3.1 là 7.0 (Cao).

Vector của lỗ hổng CVE-2025-37735 được xác định là CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H. Phân tích các thành phần của vector này cho thấy:

• AV:L (Attack Vector: Local): Cuộc tấn công yêu cầu quyền truy cập cục bộ vào hệ thống.
• AC:H (Attack Complexity: High): Độ phức tạp của cuộc tấn công ở mức cao.
• PR:L (Privileges Required: Low): Kẻ tấn công chỉ cần đặc quyền thấp để thực hiện khai thác.
• UI:N (User Interaction: None): Không cần tương tác của người dùng để cuộc tấn công thành công.
• S:U (Scope: Unchanged): Phạm vi lỗ hổng không thay đổi.
• C:H (Confidentiality Impact: High): Tác động cao đến tính bảo mật của dữ liệu.
• I:H (Integrity Impact: High): Tác động cao đến tính toàn vẹn của hệ thống và dữ liệu.
• A:H (Availability Impact: High): Tác động cao đến tính sẵn sàng của dịch vụ.

Mặc dù độ phức tạp tấn công được đánh giá là cao, yêu cầu đặc quyền thấp và khả năng không cần tương tác người dùng khiến lỗ hổng này trở thành một mối đe dọa thực tế trong nhiều môi trường, với tác động tiềm tàng nghiêm trọng.

Giải pháp khắc phục và bản vá bảo mật

Các phiên bản đã vá lỗi

Elastic đã phản hồi nhanh chóng bằng cách phát hành các phiên bản đã vá lỗi để khắc phục lỗ hổng CVE-2025-37735 này. Các tổ chức được khuyến nghị nên nâng cấp ngay lập tức lên một trong các phiên bản đã sửa lỗi sau:

• 8.19.6
• 9.1.6
• 9.2.0

Những bản cập nhật này đã triển khai các cơ chế bảo toàn quyền truy cập phù hợp, qua đó loại bỏ vectơ tấn công. Việc triển khai các bản vá bảo mật này là bước quan trọng để bảo vệ hệ thống.

Để biết thêm chi tiết về bản cập nhật, bạn có thể tham khảo thông báo bảo mật chính thức của Elastic.

Biện pháp giảm thiểu tạm thời

Đối với các tổ chức không thể nâng cấp ngay lập tức do những ràng buộc về hoạt động hoặc vấn đề tương thích, có một giải pháp tạm thời cần được xem xét. Windows 11 phiên bản 24H2 bao gồm các thay đổi kiến trúc khiến lỗ hổng leo quyền cục bộ này trở nên phức tạp hơn đáng kể để khai thác.

Các tổ chức đang chạy các phiên bản Windows cũ hơn có thể cân nhắc nâng cấp lên Windows 11 24H2 hoặc mới hơn như một biện pháp bảo mật tạm thời. Biện pháp này có thể được áp dụng trong khi lập kế hoạch và chuẩn bị cho lịch trình nâng cấp Elastic Defend đầy đủ.

Khuyến nghị và hành động ưu tiên

Đánh giá và kế hoạch nâng cấp

Các nhóm an ninh mạng nên ưu tiên vá lỗ hổng CVE-2025-37735 này trên toàn bộ cơ sở hạ tầng của họ. Sự kết hợp giữa yêu cầu quyền truy cập cục bộ và đặc quyền người dùng thấp có nghĩa là nhân viên hoặc nhà thầu có quyền truy cập hệ thống là nguy cơ chính.

Ngoài ra, các tài khoản bị xâm nhập với quyền truy cập người dùng tiêu chuẩn cũng có thể lợi dụng lỗ hổng này để giành quyền kiểm soát quản trị, dẫn đến hậu quả nghiêm trọng hơn. Việc này làm tăng thêm tầm quan trọng của việc quản lý đặc quyền người dùng.

Các tổ chức cần kiểm kê tất cả các triển khai Elastic Defend của mình. Mục tiêu là xác định các hệ thống đang chạy phiên bản dễ bị tổn thương và phát triển lịch trình nâng cấp chi tiết và kịp thời.

Với mức độ nghiêm trọng cao của lỗ hổng này và kịch bản khai thác thực tế, đây nên được coi là một công việc bảo trì cơ sở hạ tầng quan trọng, vượt xa việc vá lỗi định kỳ. Việc triển khai nhanh chóng các bản vá bảo mật có sẵn sẽ loại bỏ mối đe dọa này và duy trì tính toàn vẹn bảo mật của cơ sở hạ tầng bảo vệ điểm cuối.