Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA) đã phát đi cảnh báo khẩn cấp về việc khai thác đang diễn ra một lỗ hổng zero-day mới trong Microsoft Windows.

Lỗ hổng này, được theo dõi với mã định danh CVE-2025-62215, ảnh hưởng trực tiếp đến Windows Kernel và có thể cho phép kẻ tấn công leo thang đặc quyền nếu được khai thác thành công.

Chi tiết kỹ thuật về CVE-2025-62215

CVE-2025-62215 là một lỗ hổng zero-day loại race condition (điều kiện tranh chấp) tồn tại trong nhân hệ điều hành Microsoft Windows.

Race condition xảy ra khi nhiều tiến trình hoặc luồng cố gắng truy cập và sửa đổi các tài nguyên dùng chung cùng một lúc.

Nếu các hoạt động này không được đồng bộ hóa đúng cách, kết quả cuối cùng có thể không thể đoán trước, dẫn đến các trạng thái hoặc hành vi không mong muốn trong hệ thống.

Trong trường hợp của CVE-2025-62215, lỗ hổng này cho phép một kẻ tấn công cục bộ (người đã có quyền truy cập hạn chế vào hệ thống) lợi dụng điều kiện tranh chấp để đạt được đặc quyền ở cấp độ SYSTEM.

Đây là cấp độ truy cập cao nhất trong hệ thống Windows, tương đương với quyền root trên các hệ thống Linux/Unix.

Để biết thêm thông tin chi tiết về lỗ hổng, có thể tham khảo trang NVD của NIST tại: nvd.nist.gov/vuln/detail/CVE-2025-62215.

Mức độ nghiêm trọng và tác động của lỗ hổng zero-day

Cảnh báo CVE từ CISA được đưa ra sau khi các nhà nghiên cứu phát hiện ra tin tặc đang tích cực khai thác lỗ hổng này trên thực tế.

Việc được dán nhãn “zero-day” có nghĩa là không có bản vá nào được phát hành trước khi kẻ tấn công bắt đầu khai thác nó.

Điều này khiến CVE-2025-62215 trở nên đặc biệt nguy hiểm đối với các hệ thống chưa được vá lỗi.

Bất kỳ tổ chức hoặc cá nhân nào đang sử dụng các phiên bản Microsoft Windows bị ảnh hưởng đều có nguy cơ.

Ngay cả những người dùng có đặc quyền hạn chế (cấp thấp) cũng có thể lợi dụng lỗ hổng này để chiếm quyền điều khiển hoàn toàn hệ thống của họ.

Mặc dù việc sử dụng lỗ hổng này trong các chiến dịch ransomware cụ thể vẫn chưa rõ ràng, nhưng việc giành được quyền truy cập cấp SYSTEM mang lại cho kẻ tấn công khả năng toàn diện.

Kẻ tấn công có thể cài đặt các chương trình mới, xem và sửa đổi dữ liệu nhạy cảm, hoặc tạo các tài khoản mới với đầy đủ quyền người dùng.

Đối với các doanh nghiệp sử dụng dịch vụ đám mây hoặc vận hành cơ sở hạ tầng quan trọng, cần đặc biệt chú ý, vì sự gián đoạn hoạt động hoặc hành vi đánh cắp dữ liệu có thể xảy ra nếu lỗ hổng bị khai thác.

Cảnh báo từ CISA khẳng định tính khẩn cấp của việc ứng phó với lỗ hổng zero-day này để ngăn chặn các cuộc tấn công tiềm tàng.

Các biện pháp phòng ngừa và cập nhật bản vá

CISA đặc biệt khuyến nghị tất cả người dùng và quản trị viên thực hiện các bước sau để giảm thiểu rủi ro từ lỗ hổng zero-day này:

• Cập nhật hệ thống: Đảm bảo rằng tất cả các hệ thống Microsoft Windows đã được cập nhật bản vá bảo mật mới nhất ngay khi chúng có sẵn. Việc duy trì các bản cập nhật bảo mật là rất quan trọng để bảo vệ chống lại các mối đe dọa đã biết và mới nổi.
• Giám sát hoạt động: Các đội ngũ bảo mật nên tích cực giám sát hệ thống của họ để phát hiện bất kỳ hoạt động đáng ngờ nào hoặc dấu hiệu xâm nhập liên quan đến lỗ hổng này.
• Ưu tiên vá lỗi: Các tổ chức nên duy trì cảnh giác cao độ và ưu tiên việc vá lỗi để giảm thiểu nguy cơ bị xâm nhập. Việc trì hoãn cập nhật bản vá có thể để lại cửa hậu cho kẻ tấn công khai thác.

CISA duy trì danh mục các lỗ hổng đã bị khai thác trong thực tế (Known Exploited Vulnerabilities Catalog) để giúp các tổ chức ưu tiên vá lỗi, có thể truy cập tại: cisa.gov/known-exploited-vulnerabilities-catalog.

Việc tuân thủ các hướng dẫn này là cần thiết để bảo vệ hệ thống khỏi các mối đe dọa nghiêm trọng do lỗ hổng zero-day gây ra.