Microsoft vừa phát hành bản vá khẩn cấp cho 63 lỗ hổng, trong đó đáng lo ngại nhất là zero-day CVE-2025-62215 đang bị khai thác tích cực và có thể cho phép kẻ tấn công chiếm quyền hệ thống.
Trong khi Google tung ra bản cập nhật khẩn cấp cho toàn bộ người dùng Chrome để đối phó một lỗ hổng nghiêm trọng, Microsoft cũng phát đi cảnh báo bảo mật riêng. Một lỗ hổng zero-day mới có tên CVE-2025-62215 đang bị khai thác tích cực và có thể cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống. Đây là điểm nhấn trong đợt cập nhật Patch Tuesday mới nhất, vốn bao gồm tới 63 lỗ hổng.
Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable nhận định CVE-2025-62215 nhiều khả năng được sử dụng trong giai đoạn hậu xâm nhập, sau khi kẻ tấn công có được quyền truy cập ban đầu qua lừa đảo, kỹ thuật xã hội hoặc một lỗ hổng khác.
Một số chuyên gia an ninh đã đi sâu phân tích mức độ nghiêm trọng của vấn đề. Adam Barnett, kỹ sư phần mềm cấp cao tại Rapid7, nhận định lỗ hổng “có thể ảnh hưởng đến hầu như mọi hệ thống chạy phần mềm Microsoft”. Trong kịch bản xấu nhất, kẻ tấn công có thể thực thi mã từ xa dưới quyền hệ thống thông qua mạng mà không cần có sẵn điểm xâm nhập. Dù vậy, Barnett tin rằng khả năng khai thác thực tế vẫn thấp, song vẫn khuyến cáo xử lý nó như “ưu tiên hàng đầu” khi triển khai bản vá tháng này.
Microsoft
Microsoft cho biết nguyên nhân gốc rễ liên quan đến CWE-362 (thực thi đồng thời với tài nguyên dùng chung đồng bộ sai) và CWE-415 (giải phóng bộ nhớ kép). Ben McCarthy, kỹ sư an ninh mạng tại Immersive, cảnh báo rằng sự kết hợp của hai vấn đề này cho phép kẻ tấn công có quyền đặc quyền thấp chạy ứng dụng được thiết kế để liên tục kích hoạt tình trạng chạy đua, khiến nhiều luồng can thiệp vào tài nguyên nhân không đồng bộ. Việc này có thể khiến nhân giải phóng cùng một vùng nhớ hai lần, làm hỏng heap, ghi đè bộ nhớ và trao quyền điều khiển luồng thực thi cho kẻ tấn công. Như Jason Soroko, chuyên gia của Sectigo, nhận xét: “CVE-2025-62215 không chỉ mở cửa, nó mở toang cửa khi kẻ tấn công đã vào bên trong".
Không chỉ có CVE-2025-62215
Trong tổng số 63 lỗ hổng được Microsoft vá trong tháng này, nhiều chuyên gia cho rằng có những lỗ hổng khác cũng cần được ưu tiên.
Eliran Partush, nhà nghiên cứu bảo mật tại Silverfort, lưu ý về CVE-2025-60704 - một lỗ hổng nâng cao đặc quyền trong Kerberos do chính ông phát hiện. Với điểm CVSS 7.5, lỗ hổng này cho phép kẻ tấn công mạo danh người dùng, đánh cắp dữ liệu nhạy cảm và đặc biệt nguy hiểm ở chỗ hoạt động âm thầm. Partush nhấn mạnh rằng Kerberos vốn được tin dùng nhiều thập kỷ như xương sống của xác thực doanh nghiệp, nhưng các cơ chế kiểm tra lỗi thời có thể âm thầm gây suy yếu toàn bộ hệ thống.
Một lỗ hổng nghiêm trọng khác là CVE-2025-60724, được đánh giá CVSS 9.8. Theo Tyler Reguly, Phó giám đốc nghiên cứu và phát triển bảo mật tại Fortra, lỗ hổng này có thể bị khai thác chỉ bằng cách tải lên tài liệu độc hại lên dịch vụ web - không cần tương tác người dùng hay đặc quyền đặc biệt. “Nếu tôi là CISO, CVE-2025-60724 sẽ là điều khiến tôi lo nhất trong tháng này", Reguly nói.
Điều người dùng cần làm lúc này là hãy cập nhật và cài đặt các bản vá mới nhất, nhằm phòng tránh các rủi ro có thể xảy ra.
