Các nhà nghiên cứu bảo mật tại Cymulate Research Labs vừa phát hiện một lỗ hổng zero-click NTLM credential leakage nghiêm trọng. Lỗ hổng này thành công vượt qua bản vá bảo mật CVE-2025-24054 của Microsoft.

Phát hiện này chứng minh rằng bản vá gốc chưa hoàn chỉnh, khiến hàng triệu hệ thống Windows tiếp tục bị phơi nhiễm trước các cuộc tấn công tinh vi. Đây là một cảnh báo nghiêm trọng về rủi ro an toàn thông tin.

Phát Hiện Lỗ Hổng CVE-2025-50154: Bypass Bảo Mật NTLM

Lỗ hổng mới được xác định và gán mã định danh CVE-2025-50154. Nó cho phép kẻ tấn công trích xuất các hash NTLMv2-SSP mà không yêu cầu bất kỳ tương tác nào từ phía người dùng.

Điểm đáng chú ý là lỗ hổng CVE-2025-50154 vẫn có thể bị khai thác ngay cả trên các hệ thống Windows đã được vá lỗi hoàn chỉnh. Điều này đặt ra mối đe dọa đáng kể đối với NTLM credential leakage.

Không giống như CVE-2025-24054 mà Microsoft đã khắc phục vào tháng 4, lỗ hổng bypass này khai thác một lỗ hổng tinh vi trong chiến lược giảm thiểu rủi ro của Microsoft. Cụ thể, nó cho phép các yêu cầu xác thực NTLM tự động được kích hoạt.

Việc kích hoạt này có thể dẫn đến nhiều hậu quả nghiêm trọng. Bao gồm đánh cắp thông tin đăng nhập, leo thang đặc quyền và di chuyển ngang (lateral movement) trên các mạng doanh nghiệp bị xâm nhập.

Tham khảo thêm thông tin chi tiết về CVE-2025-50154 tại: NVD – CVE-2025-50154.

Cơ Chế Khai Thác Lỗ Hổng Zero-Click

Khai thác này hoạt động dựa trên việc thao túng các tệp phím tắt của Windows, thường được gọi là tệp LNK. Nó lợi dụng cách tiến trình explorer.exe, thành phần quản lý giao diện người dùng của Windows, xử lý việc truy xuất các tệp nhị phân từ xa.

Bản vá trước đây của Microsoft cho CVE-2025-24054 đã ngăn chặn các phím tắt hiển thị biểu tượng dựa trên đường dẫn UNC (Universal Naming Convention). Tuy nhiên, các nhà nghiên cứu đã phát hiện ra một lỗ hổng trong bản vá này.

Cụ thể, bản vá không áp dụng cho các tệp nhị phân từ xa chứa dữ liệu biểu tượng bên trong chính chúng. Dữ liệu này được lưu trữ trong phần .rsrc dưới các tiêu đề RT_ICON và RT_GROUP_ICON.

Quá trình tấn công bắt đầu khi một tệp LNK được tạo một cách đặc biệt. Biểu tượng của tệp LNK này được đặt thành shell32.dll mặc định.

Đồng thời, giá trị thực thi (executable value) của nó được trỏ đến một đường dẫn tệp từ xa. Khi Windows Explorer cố gắng hiển thị phím tắt này, nó sẽ tự động truy xuất toàn bộ tệp nhị phân từ xa.

Mục đích của việc truy xuất là để trích xuất thông tin biểu tượng cần thiết cho hiển thị. Trong quá trình này, một yêu cầu xác thực NTLM tự động được kích hoạt.

Trong quá trình thử nghiệm, các nhà nghiên cứu đã sử dụng công cụ phân tích gói Wireshark và theo dõi máy chủ SMB. Họ quan sát thấy toàn bộ tệp nhị phân được truyền tải hoàn toàn mà không cần bất kỳ cú nhấp chuột nào từ phía người dùng.

Hành vi zero-click này mang lại hai hậu quả nguy hiểm. Thứ nhất, nó làm lộ các NTLM hash, có thể được sử dụng cho các cuộc tấn công vét cạn ngoại tuyến (offline brute-force attacks) hoặc các cuộc tấn công chuyển tiếp NTLM (NTLM relay attacks).

Thứ hai, nó cho phép phân phối payload một cách âm thầm (silent payload delivery) trực tiếp đến hệ thống nạn nhân. Đây là một điểm yếu nghiêm trọng của lỗ hổng zero-day này.

Ảnh Hưởng và Rủi Ro An Ninh Mạng từ CVE-2025-50154

Lỗ hổng này không chỉ là một bypass đơn thuần. Nó còn vượt qua các biện pháp bảo vệ truyền thống chống lại việc đánh cắp hash như rainbow tables và các kỹ thuật pass-the-hash vốn có trong NTLMv2.

Nó tạo điều kiện thuận lợi cho các kịch bản tấn công trung gian (man-in-the-middle). Trong đó, các hash bị đánh cắp có thể dễ dàng được chuyển tiếp đến các dịch vụ khác trong mạng để tiếp tục tấn công.

Sử dụng các công cụ như Sysinternals Procmon, các nhà nghiên cứu đã xác nhận rằng các tệp nhị phân độc hại được tạo thành công trên các hệ thống mục tiêu. Chúng được cấp phát đầy đủ kích thước, sẵn sàng để thực thi.

Điểm yếu trong giao thức challenge/response của NTLM này đặt ra rủi ro đáng kể cho các tổ chức. Đặc biệt là những tổ chức chỉ dựa vào bản vá trước đây của Microsoft cho CVE-2025-24054 để bảo vệ chống lại NTLM credential leakage.

Việc khai thác lỗ hổng CVE-2025-50154 làm tăng đáng kể bề mặt tấn công cho các kịch bản RCE (Remote Code Execution). Điều này đặc biệt nguy hiểm khi các tài khoản có đặc quyền cao bị nhắm mục tiêu.

Chiếm quyền điều khiển các tài khoản này có thể cho phép triển khai mã độc tống tiền (ransomware deployment) một cách rộng rãi và gây ra sự xâm nhập mạng toàn diện (comprehensive network compromise).

Phát Hiện và Quy Trình Công Bố Lỗ Hổng

Cymulate đã thực hiện quy trình công bố một cách có trách nhiệm các phát hiện của họ cho Microsoft Security Response Center (MSRC). MSRC đã chính thức công nhận lỗ hổng này với mã định danh CVE-2025-50154.

Microsoft hiện đang được kỳ vọng sẽ phát hành một bản cập nhật bảo mật toàn diện để giải quyết lỗ hổng này, vốn được coi là một điểm yếu trong chiến lược phòng thủ chiều sâu (defense-in-depth) của họ.

Sự việc này một lần nữa nhấn mạnh tầm quan trọng của việc xác thực bản vá kỹ lưỡng và kiểm thử bảo mật liên tục. Những sai sót dường như nhỏ trong việc khắc phục lỗ hổng có thể để lại các hệ thống quan trọng dễ bị tổn thương.

Các mối đe dọa tiềm tàng bao gồm các cuộc tấn công tính toán trước (precomputed attacks) và các mối đe dọa dai dẳng nâng cao (advanced persistent threats) nhắm vào cơ sở hạ tầng xác thực của Windows.

Đọc thêm về nghiên cứu ban đầu từ Cymulate tại: Cymulate Blog – Zero-Click NTLM Bypass.