Một lỗ hổng zero-day thực thi mã từ xa (RCE) nghiêm trọng, kết hợp với khả năng vượt qua sandbox, nhắm mục tiêu vào các hệ thống Microsoft Office và Windows, đã được rao bán trên các diễn đàn hacker ngầm bởi một tác nhân đe dọa có tên Zeroplayer.

Phát Hiện Lỗ Hổng Zero-Day RCE Trong Microsoft Office và Windows

Thông tin về việc rao bán lỗ hổng zero-day này đã được công bố trên các diễn đàn hacking tiếng Nga.

Nội dung mô tả chi tiết về một lỗ hổng có khả năng gây ảnh hưởng nghiêm trọng đến các hệ thống mục tiêu.

Mã khai thác được định giá 30.000 USD. Mức giá này phản ánh giá trị và mức độ nguy hiểm tiềm tàng của lỗ hổng trong thị trường chợ đen.

Đáng chú ý, mã khai thác được cho là hoạt động hiệu quả trên hầu hết các định dạng tệp của Microsoft Office, bao gồm cả những phiên bản mới nhất.

Lỗ hổng này thậm chí còn ảnh hưởng đến các cài đặt Windows đã được vá lỗi hoàn toàn, điều này làm tăng mức độ nghiêm trọng và khả năng né tránh các biện pháp phòng thủ truyền thống.

Diễn biến này đang gióng lên hồi chuông cảnh báo lớn trong cộng đồng an ninh mạng toàn cầu.

Khả năng kẻ tấn công vượt qua các biện pháp bảo vệ sandbox mạnh mẽ của Microsoft và thực thi mã tùy ý với tương tác người dùng tối thiểu là một mối đe dọa đáng kể.

Cơ Chế Khai Thác và Khả Năng Vượt Qua Sandbox

Zeroplayer tuyên bố chuỗi khai thác mà họ sở hữu cho phép kẻ tấn công từ xa vượt qua tính năng bảo mật Office sandbox.

Đây là một lớp phòng thủ quan trọng, được thiết kế đặc biệt để cô lập và ngăn chặn mã độc tiềm ẩn gây hại cho hệ thống chính.

Khi sandbox bị vượt qua, kẻ tấn công không chỉ có thể thực thi mã độc mà còn đạt được quyền kiểm soát hoàn toàn hệ thống Windows bị ảnh hưởng.

Điều này biến lỗ hổng thành một công cụ mạnh mẽ để xâm nhập sâu và gây thiệt hại nghiêm trọng thông qua lỗ hổng zero-day này.

Khả năng vượt qua sandbox đặc biệt đáng lo ngại, vì chúng vô hiệu hóa một trong những cơ chế phòng thủ chính của Office chống lại các cuộc tấn công dựa trên macro.

Khi hàng rào bảo vệ này bị phá vỡ, mã độc có thể tự do lây lan ngang qua các mạng nội bộ, gây ra thiệt hại trên diện rộng.

Phương pháp phân phối mã khai thác thường thông qua việc nhúng nó vào các loại tệp phổ biến và hàng ngày như tài liệu Word hoặc Excel.

Sự quen thuộc của người dùng với các định dạng này làm tăng hiệu quả của cuộc tấn công thông qua kỹ thuật lừa đảo.

Các tài liệu độc hại đã được nhúng mã khai thác có thể được phát tán một cách rộng rãi qua email lừa đảo (spear-phishing) hoặc thông qua các trang web đã bị xâm nhập.

Đây là những con đường phổ biến mà các cuộc tấn công mạng thường sử dụng để tiếp cận và lây nhiễm nạn nhân.

Hoạt Động Trước Đó Của Nhóm Zeroplayer và Thị Trường Zero-Day

Đây không phải là lần đầu tiên tác nhân đe dọa Zeroplayer xuất hiện trên thị trường mua bán mã khai thác ngầm.

Họ đã có lịch sử tham gia vào các giao dịch tương tự, cho thấy một mô hình hoạt động chuyên nghiệp.

Trước đó, vào tháng 7 năm 2025, Zeroplayer đã rao bán một lỗ hổng zero-day RCE khác liên quan đến phần mềm WinRAR.

Lỗ hổng này được rao với mức giá cao hơn, lên đến 80.000 USD, chứng tỏ mức độ nghiêm trọng và giá trị của các phát hiện của nhóm.

Điều này cho thấy một mô hình hoạt động nhất quán của nhóm Zeroplayer, nhắm mục tiêu vào các phần mềm năng suất và lưu trữ được sử dụng rộng rãi trên toàn cầu.

Các giao dịch mua bán này cũng một lần nữa nhấn mạnh sự tồn tại của một hoạt động kinh tế ngầm cực kỳ béo bở dành cho các lỗ hổng zero-day.

Tại thị trường này, các mã khai thác có thể đạt được mức giá rất cao trước khi chúng được công khai hoặc được các nhà cung cấp phần mềm vá lỗi, tạo động lực mạnh mẽ cho các tác nhân đe dọa.

Bối Cảnh Các Cuộc Tấn Công Tương Tự và Lịch Sử Vá Lỗi Của Microsoft

Vào tháng 11 năm 2025, bản cập nhật Patch Tuesday của Microsoft đã giải quyết một loạt các lỗ hổng RCE nghiêm trọng trong Office.

Trong số đó có CVE-2025-62199, một lỗ hổng use-after-free có thể bị khai thác thông qua các tài liệu độc hại. Thông tin chi tiết về các bản vá Patch Tuesday.

Tuy nhiên, điều đáng chú ý là bản vá lỗi đó chỉ tập trung vào các vấn đề đã được biết đến và công khai.

Nó không hề đề cập hoặc khắc phục lỗ hổng zero-day bị cáo buộc mà Zeroplayer đang rao bán, đặt ra mối lo ngại lớn.

Điều này mạnh mẽ cho thấy rằng lỗ hổng mới này vẫn chưa được vá và tiềm ẩn nguy hiểm lớn hơn đáng kể.

Mối nguy cơ tăng cao do thành phần vượt qua sandbox, vốn không được bản vá tháng 11 đề cập, khiến nó trở nên đặc biệt nguy hiểm.

Các chuyên gia an ninh mạng thường xuyên ghi nhận rằng các diễn đàn tiếng Nga, như nơi rao bán lỗ hổng này, thường đóng vai trò là trung tâm cho các tác nhân đe dọa.

Những tác nhân này có thể là các nhóm được nhà nước bảo trợ hoặc các nhóm cơ hội chuyên nghiệp, tìm kiếm các công cụ mạnh mẽ để phục vụ mục đích của mình.

Những nhóm này có thể nhanh chóng vũ khí hóa các mã khai thác như vậy cho nhiều mục đích. Các mục đích đó bao gồm triển khai mã độc tống tiền (ransomware), thực hiện hoạt động gián điệp mạng, hoặc tiến hành các vụ đánh cắp dữ liệu quy mô lớn.

Các sự cố tương tự trong quá khứ đã được ghi nhận, chẳng hạn như việc nhóm Storm-0978 của Nga đã khai thác CVE-2023-36884 vào năm 2023.

Cuộc tấn công này liên quan đến Remote Code Execution (RCE) của Office để triển khai backdoor chống lại các mục tiêu phương Tây, chứng minh mức độ nguy hiểm của các cuộc tấn công mạng tinh vi.

Tác Động và Rủi Ro Nghiêm Trọng Đối Với Doanh Nghiệp

Hậu quả tiềm tàng từ lỗ hổng zero-day được rao bán này là cực kỳ đáng kể, đặc biệt đối với các doanh nghiệp và tổ chức phụ thuộc sâu sắc vào hệ sinh thái Microsoft 365.

Kẻ tấn công có thể lợi dụng lỗ hổng này để gây ra những thiệt hại nghiêm trọng, từ việc xâm phạm chuỗi cung ứng của doanh nghiệp đến thực hiện các cuộc xâm nhập có mục tiêu cao.

Một trong những mối lo ngại lớn là khả năng lỗ hổng này cho phép kẻ tấn công né tránh các giải pháp phát hiện phản ứng điểm cuối (EDR) hiện đại, vốn là tuyến phòng thủ quan trọng của nhiều tổ chức.

Với sự phổ biến rộng rãi của Microsoft Office trên hơn 1.4 tỷ thiết bị trên toàn cầu, các hệ thống chưa được vá lỗi đối mặt với nguy cơ lây nhiễm cao chưa từng có.

Nguy cơ này tăng cường thông qua các cuộc tấn công spear-phishing được thiết kế tinh vi, nhắm mục tiêu vào từng cá nhân trong tổ chức.

Khuyến Nghị Bảo Mật và Biện Pháp Phòng Ngừa Khẩn Cấp

Để giảm thiểu rủi ro, các tổ chức nên ưu tiên hàng đầu việc vô hiệu hóa macro trong các chính sách bảo mật của Office.

Đây là một bước cơ bản nhưng cực kỳ hiệu quả để ngăn chặn nhiều hình thức tấn công dựa trên macro.

Đồng thời, cần kích hoạt tính năng Protected View cho tất cả các tài liệu được tải xuống hoặc nhận từ các nguồn bên ngoài.

Tính năng này cung cấp một lớp bảo vệ bổ sung bằng cách mở tài liệu ở chế độ chỉ đọc, giới hạn khả năng thực thi mã độc.

Triển khai và duy trì các công cụ bảo vệ mối đe dọa nâng cao (Advanced Threat Protection) là cần thiết để đối phó với các cuộc tấn công tinh vi.

Đặc biệt, các công cụ này cần có khả năng phát hiện và ngăn chặn hiệu quả các cuộc tấn công sử dụng lỗ hổng zero-day.

Liên tục theo dõi các hoạt động bất thường trên các diễn đàn hacker và áp dụng các bản vá sắp tới một cách khẩn cấp là cực kỳ quan trọng đối với mọi tổ chức.

Microsoft có thể sẽ đẩy nhanh quá trình phát hành các bản sửa lỗi nếu bằng chứng khai thác thực tế xuất hiện trên diện rộng, từ đó giảm thiểu rủi ro đáng kể từ các cuộc tấn công mạng nguy hiểm này.