Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong ứng dụng Zoom Workplace VDI Client dành cho Windows, có khả năng cho phép kẻ tấn công leo thang đặc quyền trên các hệ thống bị ảnh hưởng.

Lỗ hổng này, được theo dõi với mã CVE-2025-64740 và được gán mã bản tin ZSB-25042, đã được đánh giá ở mức độ Nghiêm trọng Cao với điểm CVSS là 7.5.

Phân tích Kỹ thuật Lỗ hổng CVE-2025-64740

Nguyên nhân gốc rễ: Xác minh chữ ký mã hóa không đúng cách

Điểm yếu cốt lõi của lỗ hổng CVE-2025-64740 xuất phát từ việc xác minh chữ ký mã hóa không đúng cách trong trình cài đặt Zoom Workplace VDI Client.

Cụ thể, trình cài đặt không kiểm tra và xác minh đầy đủ tính hợp lệ của các tệp cài đặt trước khi thực thi chúng.

Điều này tạo ra một khe hở bảo mật cho phép kẻ tấn công có thể chèn các tệp độc hại, đã được sửa đổi, vào quá trình cài đặt hoặc cập nhật.

Cơ chế khai thác và Leo thang đặc quyền

Để khai thác lỗ hổng này, kẻ tấn công cần phải có quyền truy cập cục bộ vào hệ thống mục tiêu. Đây không phải là một cuộc tấn công từ xa qua internet.

Tuy nhiên, một khi đã có quyền truy cập cục bộ và xác thực, kẻ tấn công có thể lợi dụng sự thiếu sót trong việc xác minh chữ ký để thực thi mã độc với các đặc quyền cao hơn.

Kẻ tấn công có thể thay thế các tệp hợp pháp bằng phiên bản độc hại, hoặc chèn mã độc vào luồng cài đặt, sau đó lợi dụng quy trình cài đặt để thực thi mã này.

Mục tiêu cuối cùng là leo thang từ một tài khoản người dùng thông thường lên tài khoản cấp quản trị viên (administrator-level account).

Việc này cho phép chiếm quyền điều khiển hoàn toàn hệ thống, truy cập vào các tài nguyên và dữ liệu nhạy cảm hơn.

Mức độ Nghiêm trọng và Tác động của CVSS 7.5

Đánh giá CVSS v3.1

Điểm CVSS 7.5 phản ánh mức độ nghiêm trọng đáng kể của lỗ hổng này. Mặc dù yêu cầu kẻ tấn công phải có quyền truy cập cục bộ và tương tác người dùng, nhưng tác động tiềm tàng là rất lớn.

Các yếu tố thường góp phần vào điểm số này bao gồm:

• Attack Complexity (AC): Thấp, cho thấy việc khai thác không quá phức tạp sau khi đã có quyền truy cập cục bộ.
• Privileges Required (PR): Thấp, vì kẻ tấn công chỉ cần quyền người dùng thông thường.
• User Interaction (UI): Yêu cầu, nghĩa là cần có sự tương tác của người dùng (ví dụ: chạy trình cài đặt đã bị can thiệp).
• Confidentiality Impact (C): Cao, dữ liệu nhạy cảm có thể bị truy cập.
• Integrity Impact (I): Cao, hệ thống và dữ liệu có thể bị sửa đổi trái phép.
• Availability Impact (A): Cao, có thể dẫn đến gián đoạn dịch vụ.

Hậu quả của việc khai thác thành công

Một cuộc tấn công thành công có thể cho phép leo thang đặc quyền trái phép, giúp kẻ tấn công thực thi mã tùy ý với các quyền nâng cao.

Điều này bao gồm khả năng truy cập các tệp bị hạn chế, thay đổi cấu hình hệ thống, hoặc cài đặt phần mềm độc hại (malware) có thể ảnh hưởng đến toàn bộ tổ chức.

Trong môi trường Doanh nghiệp, việc chiếm quyền điều khiển một máy trạm có thể là bàn đạp để xâm nhập sâu hơn vào mạng nội bộ.

Sản phẩm và Phiên bản Bị Ảnh hưởng

Các phiên bản Zoom Workplace VDI Client

Các tổ chức sử dụng Zoom Workplace VDI Client dành cho Windows đang đối mặt với rủi ro nếu họ đang chạy các phiên bản cũ hơn so với các phiên bản được vá lỗi.

Cụ thể, lỗ hổng ảnh hưởng đến tất cả các phiên bản cũ hơn của các nhánh sản phẩm sau:

• Zoom Workplace VDI Client for Windows trước phiên bản 5.17.5
• Zoom Workplace VDI Client for Windows (phiên bản Extended Support Release) trước phiên bản 5.16.10

Môi trường VDI (Virtual Desktop Infrastructure) rất quan trọng trong các thiết lập doanh nghiệp. Việc phát hiện lỗ hổng CVE này đặc biệt quan trọng đối với các tổ chức phụ thuộc vào máy tính để bàn ảo cho công việc từ xa và điện toán an toàn.

Khuyến nghị và Biện pháp Khắc phục Khẩn cấp

Cập nhật bản vá bảo mật

Zoom đã phát hành các bản vá bảo mật để khắc phục lỗ hổng này. Các tổ chức nên cập nhật ngay lập tức cài đặt Zoom Workplace VDI Client của họ lên các phiên bản mới nhất có sẵn.

Người dùng Zoom có thể tải xuống và cài đặt các bản cập nhật bảo mật mới nhất từ trung tâm tải xuống chính thức của Zoom.

Để biết thêm chi tiết về bản vá, vui lòng tham khảo Security Bulletin ZSB-25042 của Zoom.

Quy trình cập nhật

Đối với các nhóm bảo mật quản lý môi trường VDI, việc ưu tiên cập nhật này là điều cần thiết. Quá trình này thường bao gồm các bước sau:

1. Đánh giá các hệ thống Zoom Workplace VDI Client đang chạy.
2. Tải xuống phiên bản cập nhật tương ứng từ trang web chính thức của Zoom.
3. Triển khai bản cập nhật trên tất cả các máy khách VDI bị ảnh hưởng.
4. Xác minh rằng bản cập nhật đã được cài đặt thành công và không gây ra xung đột hệ thống.

Việc không cập nhật kịp thời có thể để lại một lỗ hổng bảo mật đáng kể mà kẻ tấn công có thể lợi dụng.

Phát hiện và Nghiên cứu

Các nhà nghiên cứu bảo mật tại Mandiant, một công ty tình báo mối đe dọa hàng đầu thuộc Google, đã phát hiện và báo cáo lỗ hổng CVE-2025-64740 này cho Zoom.

Sự nhận diện của Mandiant về điểm yếu này nhấn mạnh tầm quan trọng của nghiên cứu bảo mật chuyên sâu trong việc bảo vệ phần mềm doanh nghiệp.

Sự kết hợp giữa phát hiện của Mandiant và việc Zoom nhanh chóng phát hành bản vá cho thấy tầm quan trọng của việc luôn cập nhật các bản vá bảo mật để duy trì an ninh mạng.

Mặc dù lỗ hổng yêu cầu quyền truy cập hệ thống hiện có để khai thác, nhưng tiềm năng leo thang đặc quyền khiến nó trở thành một rủi ro bảo mật đáng kể. Cập nhật ngay lập tức lên các phiên bản được vá để loại bỏ vectơ tấn công này và duy trì tư thế bảo mật của tổ chức.

Để tìm hiểu thêm về các lỗ hổng và CVE nói chung, bạn có thể tham khảo Cơ sở dữ liệu Lỗ hổng Quốc gia tại NVD – NIST.