Microsoft đã phát hành các bản tư vấn bảo mật cho bốn lỗ hổng leo thang đặc quyền mới được phát hiện trong dịch vụ Windows Defender Firewall. Các lỗ hổng này có thể cho phép kẻ tấn công nâng cao đặc quyền trên các hệ thống Windows bị ảnh hưởng, gây ra rủi ro nghiêm trọng về an toàn thông tin.

Chi tiết các Lỗ hổng Leo thang Đặc quyền

Mã định danh và Đặc điểm chung

Bốn lỗ hổng được theo dõi là CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 và CVE-2025-54915. Tất cả đều được công bố vào ngày 09 tháng 9 năm 2025 và có đặc điểm kỹ thuật tương tự nhau. Đây là một cảnh báo CVE quan trọng đối với quản trị viên hệ thống.

Mỗi lỗ hổng liên quan đến Type Confusion (CWE-843). Đây là một điểm yếu nghiêm trọng khi dịch vụ tường lửa hiểu sai kiểu dữ liệu của một tài nguyên được cung cấp. Sự sai lệch này dẫn đến việc xử lý dữ liệu không chính xác, cho phép thực hiện các hoạt động trái phép. Cuối cùng, điều này tạo điều kiện cho kẻ tấn công thực hiện leo thang đặc quyền bằng cách thao túng các hàm nội bộ của dịch vụ Windows Defender Firewall.

Đánh giá Mức độ Nghiêm trọng (CVSS)

Tất cả bốn lỗ hổng này đều được phân loại là mức độ nghiêm trọng Quan trọng (Important). Chúng có điểm cơ sở CVSS 3.1 là 6.7, với điểm thời gian là 5.8.

Vector tấn công là cục bộ (AV:L), có nghĩa là kẻ tấn công cần có quyền truy cập vật lý hoặc thông qua phiên đăng nhập cục bộ vào hệ thống mục tiêu. Độ phức tạp tấn công thấp (AC:L) cho thấy việc khai thác không đòi hỏi nhiều kỹ năng hoặc điều kiện cụ thể phức tạp.

Đặc quyền yêu cầu cao (PR:H) nghĩa là kẻ tấn công cần có một mức độ đặc quyền nhất định trên hệ thống trước khi có thể khai thác. Tuy nhiên, không cần tương tác người dùng (UI:N), làm tăng khả năng thành công của cuộc tấn công sau khi quyền truy cập ban đầu được thiết lập.

Các tác động về bảo mật (Confidentiality), tính toàn vẹn (Integrity) và tính khả dụng (Availability) đều ở mức cao (C:H/I:H/A:H). Điều này có nghĩa là một cuộc khai thác thành công có thể dẫn đến việc tiết lộ thông tin nhạy cảm, sửa đổi hoặc xóa dữ liệu, và gián đoạn hoạt động của hệ thống, gây ra hậu quả nghiêm trọng.

Microsoft đánh giá mức độ hoàn thiện của khai thác là chưa được chứng minh (E:U). Các bản vá bảo mật chính thức đã được phát hành (RL:O) và các báo cáo về lỗ hổng đã được xác nhận (RC:C).

Cơ Chế Khai Thác

Các lỗ hổng leo thang đặc quyền này nằm trong tệp thực thi của dịch vụ Windows Defender Firewall, chạy với đặc quyền cao (elevated privileges).

Mặc dù việc khai thác yêu cầu quyền truy cập cục bộ, nhưng một cuộc tấn công thành công có thể cho phép kẻ đe dọa thực thi mã ở cấp độ SYSTEM. Đặc quyền này là mức độ cao nhất trên hệ thống Windows, vượt qua các ranh giới bảo mật thông thường và cung cấp quyền kiểm soát gần như tuyệt đối đối với máy chủ bị ảnh hưởng.

Kẻ tấn công có thể đăng nhập cục bộ vào máy mục tiêu. Sau đó, chúng có thể tận dụng một trong những lỗ hổng này để thực thi mã tùy ý với đặc quyền SYSTEM.

Điều này có thể là bước đệm cho việc chiếm quyền kiểm soát hoàn toàn hệ thống. Đặc biệt trong các môi trường doanh nghiệp nơi tài khoản người dùng cục bộ không được kiểm soát chặt chẽ, hoặc các máy trạm làm việc dễ bị truy cập vật lý. Khi đó, kẻ tấn công có thể dễ dàng mở rộng phạm vi xâm nhập thông qua việc leo thang đặc quyền này.

Biện Pháp Giảm Thiểu và Khuyến Nghị Bảo mật

Cập nhật Bản vá Bảo mật

Microsoft đã cung cấp các bản vá cho tất cả các phiên bản Windows bị ảnh hưởng thông qua các bản cập nhật bảo mật tháng 9 năm 2025. Các quản trị viên hệ thống được khuyến nghị khẩn cấp áp dụng các bản vá này ngay lập tức.

Việc cập nhật các bản vá bảo mật là bước đầu tiên và quan trọng nhất để vô hiệu hóa khả năng khai thác các lỗ hổng leo thang đặc quyền này.

Bạn có thể tham khảo thông tin chi tiết về từng CVE và tải xuống bản vá liên quan từ trang hướng dẫn cập nhật bảo mật của Microsoft (MSRC).

Tầm quan trọng của Kiểm soát Truy cập và Vá lỗi

Mặc dù các lỗ hổng này yêu cầu quyền truy cập cục bộ, chúng vẫn tiềm ẩn rủi ro đáng kể trong môi trường doanh nghiệp. Các kịch bản rủi ro bao gồm việc nhân viên có đặc quyền quản trị bị lừa cài đặt mã độc hoặc máy tính xách tay bị mất cắp/truy cập vật lý bởi những cá nhân trái phép. Kẻ tấn công có thể lợi dụng điều này để đạt được đặc quyền SYSTEM.

Một khi kẻ tấn công có được đặc quyền SYSTEM, chúng có thể vô hiệu hóa các biện pháp kiểm soát bảo mật. Kế đến, chúng có thể cài đặt phần mềm độc hại dai dẳng, hoặc thực hiện di chuyển ngang (lateral movement) trong mạng để tiếp cận các tài nguyên quan trọng hơn.

Việc giải quyết các lỗ hổng leo thang đặc quyền này kịp thời là cực kỳ quan trọng để giảm thiểu cơ hội cho các tác nhân đe dọa khai thác chúng. Windows Defender Firewall từ lâu đã là một thành phần cốt lõi trong chiến lược phòng thủ chuyên sâu (defense-in-depth) của Microsoft, cung cấp một lớp bảo vệ thiết yếu. Do đó, bất kỳ điểm yếu nào trong nó đều cần được xử lý ngay lập tức để duy trì tính toàn vẹn của hệ thống.

Những lỗ hổng leo thang đặc quyền này nhấn mạnh tầm quan trọng của việc vá lỗi định kỳ và kiểm soát truy cập nghiêm ngặt. Việc này bao gồm việc áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege) cho tất cả người dùng và dịch vụ.

Bằng cách áp dụng các bản cập nhật có sẵn và thực thi chính sách bảo mật mạnh mẽ, đặc biệt là kiểm soát quyền truy cập chặt chẽ đối với tài khoản cục bộ, các tổ chức có thể bảo vệ mình khỏi các cuộc tấn công leo thang đặc quyền tiềm năng nhắm vào dịch vụ tường lửa và thúc đẩy chiến lược an ninh mạng toàn diện, kiên cố hơn.