Một lỗ hổng leo thang đặc quyền nghiêm trọng đã được phát hiện trong ứng dụng Netskope Windows client, cho phép kẻ tấn công nâng cao đặc quyền từ người dùng có quyền hạn thấp lên quyền truy cập cấp hệ thống (SYSTEM). Lỗ hổng này tiềm ẩn nguy cơ cao đối với các tổ chức sử dụng giải pháp bảo mật của Netskope.

Chi tiết kỹ thuật về CVE-2025-0309

Lỗ hổng được theo dõi dưới mã định danh CVE-2025-0309, ảnh hưởng đến tất cả các phiên bản của Netskope Windows client trước phiên bản R129. Ngay lập tức, Netskope đã phát hành các bản cập nhật bảo mật khẩn cấp để vá lỗi này.

Các nhà nghiên cứu bảo mật Richard Warren và David Cash từ Amber Wolf đã khám phá ra điểm yếu này. Họ chỉ ra rằng quy trình đăng ký của client Netskope có thể bị thao túng thông qua một chuỗi tấn công phức tạp, dẫn đến việc chiếm quyền điều khiển hệ thống, khai thác lỗ hổng leo thang đặc quyền.

Cơ chế khai thác và chuỗi tấn công

Cuộc tấn công lợi dụng cơ chế giao tiếp giữa tiến trình giao diện người dùng client (stAgentUI) chạy với đặc quyền thấp và dịch vụ đặc quyền (stAgentSvc) chạy với quyền SYSTEM.

Chuỗi khai thác bao gồm nhiều bước quan trọng:

• Kẻ tấn công khởi tạo một máy chủ độc hại để giả mạo máy chủ hợp lệ của Netskope.
• Client bị lừa để đăng ký với máy chủ giả mạo này, thiết lập kết nối không an toàn.
• Máy chủ độc hại sau đó có thể phản hồi với các cấu hình nguy hiểm. Điều này bao gồm việc cài đặt một chứng chỉ gốc (Certificate Authority – CA) giả mạo vào kho lưu trữ tin cậy của hệ thống.
• Tiếp theo, máy chủ có thể cung cấp một bản cập nhật phần mềm đã bị cài đặt backdoor.
• Do kẻ tấn công kiểm soát CA giả mạo, chúng có khả năng ký các trình cài đặt phần mềm độc hại. Các trình cài đặt này sẽ xuất hiện là hợp lệ đối với các kiểm tra bảo mật tích hợp của client.

Các biện pháp bảo vệ tích hợp của client, bao gồm xác minh chữ ký và kiểm tra mã băm (digest checking), đều có thể bị qua mặt. Điều này là do kẻ tấn công có toàn quyền kiểm soát cả chứng chỉ ký và các phản hồi từ máy chủ.

Vượt qua các biện pháp bảo vệ của Netskope

Các nhà nghiên cứu đã phát hiện ra nhiều cách để vượt qua các lớp bảo vệ của Netskope, làm lộ ra lỗ hổng leo thang đặc quyền. Netskope client cố gắng xác thực các bên gọi giao tiếp liên tiến trình (IPC) bằng cách kiểm tra các yêu cầu đến từ các tiến trình Netskope hợp lệ nằm trong các thư mục được bảo vệ.

Bỏ qua xác thực IPC Caller

Biện pháp bảo vệ này có thể bị bỏ qua bằng cách tiêm mã vào các tiến trình được chấp thuận như nsdiag.exe. Sau đó, tiến trình này được sử dụng làm proxy cho các giao tiếp IPC độc hại, đánh lừa hệ thống tin rằng yêu cầu đến từ một nguồn hợp lệ.

Vô hiệu hóa tính năng “Tamper Proof”

Ngay cả tính năng “Tamper Proof” của Netskope, được thiết kế để ngăn chặn truy cập trái phép vào các tiến trình được bảo vệ thông qua các driver cấp kernel, cũng có thể bị đánh bại. Các nhà nghiên cứu đã phát triển một kỹ thuật tinh vi:

• Tạo một tiến trình Netskope mới ở trạng thái tạm dừng (suspended state).
• Ghi đè (overwrite) các hàm hệ thống quan trọng bằng mã độc hại.
• Tiếp tục thực thi tiến trình để tải payload tấn công của chúng.

Kỹ thuật này cho phép kẻ tấn công khai thác lỗ hổng leo thang đặc quyền để thực thi mã tùy ý với quyền SYSTEM, hoàn toàn kiểm soát hệ thống bị ảnh hưởng.

Bạn có thể tham khảo chi tiết kỹ thuật từ nguồn gốc tại blog của Amber Wolf: Netskope Client for Windows – Local Privilege Escalation via Rogue Server.

Giải mã và giả mạo giao tiếp IPC được mã hóa

Các phiên bản mới hơn của client sử dụng mã hóa cho giao tiếp IPC cũng không miễn nhiễm với cuộc tấn công này. Mã hóa sử dụng các giá trị dễ dàng lấy được từ sổ đăng ký Windows làm khóa mã hóa và vector khởi tạo (initialization vector – IV).

Điều này cho phép kẻ tấn công giải mã và giả mạo các thông điệp được mã hóa. Bằng cách thao túng các giá trị này, kẻ tấn công có thể chèn các lệnh độc hại vào luồng giao tiếp hợp pháp, một lần nữa khai thác lỗ hổng leo thang đặc quyền.

Ảnh hưởng và rủi ro bảo mật từ lỗ hổng leo thang đặc quyền

Việc khai thác thành công CVE-2025-0309 dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn. Đây là một dạng lỗ hổng leo thang đặc quyền có mức độ nghiêm trọng cao, có nghĩa là kẻ tấn công có thể thực hiện bất kỳ hành động nào trên máy tính bị ảnh hưởng, bao gồm:

• Cài đặt mã độc tống tiền (ransomware) hoặc các phần mềm độc hại khác.
• Đánh cắp dữ liệu nhạy cảm.
• Thiết lập các cửa hậu (backdoor) để duy trì quyền truy cập lâu dài.
• Sử dụng hệ thống làm bàn đạp cho các cuộc tấn công tiếp theo trong mạng nội bộ.

Đây là một nguy cơ bảo mật nghiêm trọng mà các tổ chức cần đặc biệt chú ý, bởi vì nó có thể dẫn đến việc kiểm soát toàn bộ hệ thống thông tin.

Biện pháp khắc phục và bản vá bảo mật

Netskope đã nhanh chóng hành động để giải quyết lỗ hổng leo thang đặc quyền quan trọng này. Vào ngày 13 tháng 8 năm 2025, công ty đã phát hành phiên bản R129 của Netskope Windows client.

Phiên bản R129 triển khai một danh sách cho phép (allowlist) các miền Netskope hợp lệ được mã hóa cứng. Biện pháp này nhằm ngăn chặn client đăng ký với các máy chủ giả mạo, loại bỏ gốc rễ của chuỗi tấn công. Đây là một bản vá bảo mật thiết yếu.

Các tổ chức đang sử dụng Netskope được khuyến nghị mạnh mẽ nên cập nhật lên phiên bản R129 ngay lập tức để bảo vệ hệ thống của mình khỏi mối đe dọa này. Việc cập nhật bản vá là bước phòng ngừa thiết yếu.

Netskope cũng đã công bố khuyến cáo bảo mật NSKPSA-2025-002, cung cấp thông tin chi tiết về lỗ hổng và các bước khắc phục.

Phương pháp phát hiện và giám sát

Để hỗ trợ các nhóm bảo mật trong việc phát hiện các nỗ lực xâm nhập hoặc thỏa hiệp, Netskope đã cung cấp một số phương pháp giám sát quan trọng:

• Giám sát chứng chỉ đáng ngờ: Theo dõi sự xuất hiện của các chứng chỉ lạ hoặc không mong muốn trong kho lưu trữ chứng chỉ gốc tin cậy (trusted root store) của hệ thống. Đây có thể là dấu hiệu của việc cài đặt CA giả mạo.
• Kiểm tra cài đặt MSI bất thường: Theo dõi các cài đặt gói MSI (Microsoft Installer) bất thường hoặc không rõ nguồn gốc từ dịch vụ Netskope.
• Xem xét nhật ký (log files): Kiểm tra các tệp nhật ký để tìm kiếm các URL addon hoặc ID tenant không mong đợi. Những mục này có thể chỉ ra các nỗ lực đăng ký với máy chủ độc hại hoặc các hoạt động trái phép khác.

Việc áp dụng các phương pháp phát hiện này giúp tăng cường khả năng phản ứng và giảm thiểu rủi ro từ các cuộc tấn công tiềm ẩn.

Những thách thức bảo mật đối với phần mềm doanh nghiệp

Lỗ hổng này nhấn mạnh những thách tác bảo mật phức tạp mà phần mềm bảo mật doanh nghiệp phải đối mặt. Nhu cầu truy cập đặc quyền cấp hệ thống để cung cấp khả năng bảo vệ cũng đồng thời tạo ra các mục tiêu hấp dẫn cho kẻ tấn công.

Bản chất tinh vi của cuộc tấn công này, đòi hỏi kiến thức kỹ thuật sâu rộng về kiến trúc và giao thức giao tiếp của client, cho thấy nó chủ yếu sẽ được quan tâm bởi các tác nhân đe dọa dai dẳng nâng cao (APT) hoặc các nhà nghiên cứu bảo mật. Khai thác lỗ hổng leo thang đặc quyền này không dành cho những tội phạm mạng thông thường.