SOFT365 NEWS | BẢN TIN BẢO MẬT - AN NINH MẠNG THÁNG 5/2025

May 19, 2025 Blog - Tin tức, Tin SOFT365 Leave a comment 7 Views

Kính mời Quý doanh nghiệp cập nhật thông tin mới nhất về bảo mật Microsoft, để cấu hình cho hạ tầng công nghệ của mình nhằm bảo vệ hệ thống, mạng và dữ liệu khỏi các cuộc tấn công từ không gian mạng. Đón đọc Bản tin tóm tắt điểm yếu/lỗ hổng nguy hiểm trên Microsoft trong tháng 05 năm 2025, trong bài viết dưới đây.

Các lỗ hổng bảo mật an toàn thông tin đáng chú ý tháng 05/2025

Lỗ hổng bảo mật "Microsoft Virtual Machine Bus (VMBus) Remote Code Execution Vulnerability"

1. Thông tin lỗ hổng

Tên lỗ hổng: Microsoft Virtual Machine Bus (VMBus) Remote Code Execution Vulnerability

Mã lỗ hổng bảo mật: CVE-2025-29833
Mức độ nghiêm trọng: CVSS:3.1 – 7.1/10
Max Severity: Critical
Ngày công bố mã khai thác: May 11, 2025
Mức độ ảnh hưởng: Remote Code Execution (thực thi mã từ xa)
Đối tượng ảnh hưởng:

- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 for 32-bit Systems
- Windows Server 2025
- Windows 11 Version 24H2 for x64-based Systems
- Windows 11 Version 24H2 for ARM64-based Systems
- Windows Server 2022, 23H2 Edition (Server Core installation)
- Windows 11 Version 23H2 for x64-based Systems
- Windows 11 Version 23H2 for ARM64-based Systems
- Windows Server 2025 (Server Core installation)

- Windows 10 Version 22H2 for 32-bit Systems
- Windows 10 Version 22H2 for ARM64-based Systems
- Windows 10 Version 22H2 for x64-based Systems
- Windows 11 Version 22H2 for x64-based Systems
- Windows 11 Version 22H2 for ARM64-based Systems
- Windows 10 Version 21H2 for x64-based Systems
- Windows 10 Version 21H2 for ARM64-based Systems
- Windows 10 Version 21H2 for 32-bit Systems
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems

Mô tả lỗ hổng:

Lỗ hổng CVE-2025-29833 liên quan đến cách VMBus trong Windows hoạt động. Bình thường, khi một hệ điều hành khách (chạy trong máy ảo) yêu cầu tài nguyên, VMBus trên máy chủ sẽ kiểm tra để đảm bảo yêu cầu này an toàn. Vấn đề là trạng thái được kiểm tra có thể thay đổi ngay trước khi được sử dụng—do lỗi đồng thời hoặc kẻ tấn công cố ý can thiệp. Khoảng thời gian nhỏ giữa kiểm tra và sử dụng tạo cơ hội để tài nguyên bị thay thế hoặc làm giả, dẫn đến việc chạy mã độc.

Quá trình tấn công, gọi là TOCTOU (time-of-check to time-of-use), diễn ra như sau:

- Kiểm tra: Hệ thống xác nhận một thao tác (như truy cập bộ nhớ) là an toàn.
- Thay đổi: Kẻ tấn công nhanh chóng thay đổi tài nguyên ngay sau khi kiểm tra xong.
- Sử dụng: Hệ thống vô tình dùng tài nguyên đã bị xâm phạm, dẫn đến chạy mã độc.

Vì VMBus kết nối các máy ảo, lỗ hổng này có thể cho phép kẻ tấn công chạy mã trên máy chủ hoặc thoát ra khỏi máy ảo, tùy vào quyền truy cập và cách họ khai thác.

Ảnh hưởng:Hãy cùng xem xét những hậu quả thực tế mà lỗ hổng CVE-2025-29833 có thể gây ra:
- VM Escape: Nếu kẻ tấn công đã chạy được mã trong máy ảo, họ có thể lợi dụng lỗi này để chạy mã trên máy chủ, vượt qua giới hạn của máy ảo và "thoát" ra ngoài.
- Chiếm quyền cao hơn: Dù không thoát hẳn khỏi máy ảo, kẻ tấn công vẫn có thể nâng quyền từ người dùng bình thường lên mức quản trị viên, phá bỏ các biện pháp bảo mật.
- Lây lan trong mạng: Ở các công ty lớn, chỉ cần một máy ảo hoặc tài khoản bị hack, kẻ tấn công có thể dùng lỗi VMBus để tấn công các máy ảo khác trên cùng máy chủ, phá vỡ sự tách biệt và đánh cắp dữ liệu quan trọng.

2. Phương án khắc phục

Áp dụng bản vá: Microsoft đã phát hành bản cập nhật bảo mật để khắc phục lỗ hổng này. Người dùng nên cập nhật hệ thống của mình ngay lập tức để bảo vệ khỏi các cuộc tấn công tiềm ẩn.

⇒ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29833

3. Tài liệu tham khảo

Lỗ hổng bảo mật "Remote Desktop Client Remote Code Execution Vulnerability"

1. Thông tin lỗ hổng

Tên lỗ hổng: Remote Desktop Client Remote Code Execution Vulnerability

Mã lỗ hổng bảo mật: CVE-2025-29966
Mức độ nghiêm trọng: CVSS:3.1 - 8.8/10
Max Severity: Critical
Ngày công bố mã khai thác: May 13, 2025
Mức độ ảnh hưởng: Remote Code Execution (thực thi mã từ xa)
Đối tượng ảnh hưởng:

- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 for 32-bit Systems
- Windows Server 2025
- Windows 11 Version 24H2 for x64-based Systems
- Windows 11 Version 24H2 for ARM64-based Systems
- Windows Server 2022, 23H2 Edition (Server Core installation)
- Windows 11 Version 23H2 for x64-based Systems

- Windows 11 Version 23H2 for ARM64-based Systems
- Windows Server 2025 (Server Core installation)
- Windows 10 Version 22H2 for 32-bit Systems
- Windows 10 Version 22H2 for ARM64-based Systems
- Windows 10 Version 22H2 for x64-based Systems
- Windows 11 Version 22H2 for x64-based Systems
- Windows 11 Version 22H2 for ARM64-based Systems
- Windows 10 Version 21H2 for x64-based Systems
- Windows 10 Version 21H2 for ARM64-based Systems
- Windows 10 Version 21H2 for 32-bit Systems
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Remote Desktop client for Windows Desktop
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows App Client for Windows Desktop

Mô tả lỗ hổng:

Lỗ hổng CVE-2025-29966 được đánh giá mức nguy hiểm cao (điểm CVSS 8.8) vì dễ bị khai thác, có thể tấn công từ xa và cho phép chạy mã độc. Nói đơn giản, kẻ tấn công có thể chiếm hoàn toàn thiết bị, cài phần mềm độc hại, xem hoặc chỉnh sửa dữ liệu, tạo tài khoản với quyền cao nhất, hoặc xâm nhập sâu hơn vào mạng nội bộ.

Lỗi tràn bộ đệm heap này đặc biệt nguy hiểm trên Windows vì hệ thống quản lý bộ nhớ phức tạp và được dùng rộng rãi. Microsoft cho biết nếu khai thác thành công, kẻ tấn công có thể chạy mã độc dưới quyền của người dùng, nhưng chưa nói rõ về khả năng bị tấn công thực tế hay ghi nhận vụ tấn công nào khi công bố lần đầu.

Giao thức Remote Desktop Protocol (RDP) là mục tiêu yêu thích của tội phạm mạng và các nhóm hacker tinh vi. Các báo cáo từ chuyên gia bảo mật cho thấy các cuộc tấn công qua RDP tăng mạnh, đặc biệt từ khi làm việc từ xa trở nên phổ biến. Vì thế, các lỗ hổng mới như CVE-2025-29966, đặc biệt là loại cho phép chạy mã từ xa, rất dễ bị hacker nhắm đến cho cả các cuộc tấn công tự động lẫn có chủ đích.

Ảnh hưởng: Để thấy rõ nguy hiểm của CVE-2025-29966, hãy tưởng tượng một kịch bản tấn công như sau:

- Hacker dựng một máy chủ RDP giả mạo, có thể đặt trên internet hoặc trong mạng nội bộ mà họ đã xâm nhập.
- o Một người dùng, như quản trị viên hoặc nhân viên làm từ xa, dùng Windows Remote Desktop Client để kết nối, nghĩ rằng đó là máy chủ đáng tin.
- Máy chủ giả gửi dữ liệu lỗi, gây tràn bộ nhớ trong ứng dụng client, làm rối bộ nhớ và chiếm quyền kiểm soát máy.
- Kết quả, mã độc chạy trên máy nạn nhân, có thể cài phần mềm gián điệp, đánh cắp mật khẩu, hoặc tấn công sang các máy khác trong mạng.

Ở những công ty không kiểm soát chặt việc dùng RDP, hoặc nơi nhân viên hay kết nối với máy chủ lạ, lỗ hổng này rất dễ bị khai thác. Dù có bảo mật mạng tốt, niềm tin mù quáng vào công cụ remote desktop vẫn khiến rủi ro từ lỗ hổng này trở nên nghiêm trọng hơn.

2. Phương án khắc phục

⇒ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29966

3. Tài liệu tham khảo

Lỗ hổng bảo mật "Remote Desktop Client Remote Code Execution Vulnerability"

1. Thông tin lỗ hổng

Tên lỗ hổng: Remote Desktop Client Remote Code Execution Vulnerability

Mã lỗ hổng bảo mật: CVE-2025-29967
Mức độ nghiêm trọng: CVSS:3.1 - 8.8/10
Max Severity: Critical
Ngày công bố mã khai thác: May 13, 2025
Mức độ ảnh hưởng: Remote Code Execution (thực thi mã từ xa)
Đối tượng ảnh hưởng:

Mô tả lỗ hổng:

Lỗi tràn bộ đệm xảy ra khi dữ liệu được ghi vào một vùng bộ nhớ nhiều hơn mức nó có thể chứa. Khác với lỗi tràn bộ đệm kiểu stack, lỗi tràn bộ đệm heap liên quan đến bộ nhớ được cấp phát động và đặc biệt nguy hiểm trong các dịch vụ có quyền cao hoặc dễ bị tấn công qua mạng, như Remote Desktop Gateway.

Với CVE-2025-29967, một yêu cầu được thiết kế đặc biệt gửi đến Dịch vụ Remote Desktop Gateway có thể gây ra lỗi tràn bộ đệm. Dù thông tin chi tiết vẫn còn ít vì chưa công bố đầy đủ và bản vá chưa phổ biến, các nhà nghiên cứu bảo mật ban đầu cho rằng lỗ hổng này đến từ việc kiểm tra dữ liệu đầu vào không kỹ lưỡng khi xử lý các gói dữ liệu giao thức RDP.

Ảnh hưởng:Kẻ tấn công có thể lợi dụng lỗ hổng này để:

- Gửi dữ liệu lỗi để gây rối vùng bộ nhớ heap.
- Thay đổi các thành phần quan trọng trong hệ thống, như trình xử lý lỗi hoặc con trỏ hàm.
- Chạy mã độc từ xa với quyền cao, thường là quyền SYSTEM hoặc tài khoản dịch vụ đặc quyền.
- Tấn công sâu hơn vào mạng nội bộ, cài mã độc, đánh cắp mật khẩu, hoặc lấy cắp dữ liệu quan trọng.

Kịch bản này rất nguy hiểm ở những nơi dùng Remote Desktop cho làm việc từ xa hoặc cho phép đối tác bên ngoài truy cập, vì các cổng RD Gateway dễ bị lộ thường xuất hiện trong các hệ thống đám mây, lai hoặc doanh nghiệp.

2. Phương án khắc phục

Áp dụng bản vá: Microsoft đã phát hành bản cập nhật bảo mật để khắc phục lỗ hổng này. Người dùng nên cập nhật hệ thống của mình ngay lập tức để bảo vệ khỏi các cuộc tấn công tiềm ẩn

⇒ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29967

3. Tài liệu tham khảo

Lỗ hổng bảo mật "Microsoft Office Remote Code Execution Vulnerability"

1. Thông tin lỗ hổng

Tên lỗ hổng: Microsoft Office Remote Code Execution Vulnerability

Mã lỗ hổng bảo mật: CVE-2025-30377
Mức độ nghiêm trọng: CVSS:3.1 – 8.4/10
Max Severity: Critical
Ngày công bố mã khai thác: May 13, 2025
Mức độ ảnh hưởng: Remote Code Execution (thực thi mã từ xa)
Đối tượng ảnh hưởng:
- Microsoft Office 2019 for 32-bit editions
- Microsoft Office 2016 (64-bit edition)
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office LTSC for Mac 2024
- Microsoft Office LTSC 2024 for 64-bit editions
- Microsoft Office LTSC 2024 for 32-bit editions
- Microsoft Office for Android
- Microsoft Office LTSC 2021 for 32-bit editions
- Microsoft Office LTSC 2021 for 64-bit editions
- Microsoft Office LTSC for Mac 2021
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft 365 Apps for Enterprise for 32-bit Systems
- Microsoft Office 2019 for 64-bit editions
Mô tả lỗ hổng:

Theo Microsoft, lỗ hổng CVE-2025-30377 ảnh hưởng đến nhiều phiên bản của Microsoft Office. Lỗ hổng này xảy ra khi Office xử lý một số tệp hoặc macro, cho phép hacker kiểm soát máy tính nếu người dùng mở một tài liệu Office được thiết kế độc hại. Lỗi use-after-free này giúp kẻ tấn công chạy mã độc dưới quyền của người dùng. Nếu người dùng có quyền quản trị, hacker có thể chiếm toàn bộ hệ thống.

Dù Microsoft chưa tiết lộ chi tiết kỹ thuật hoặc ví dụ khai thác để tránh các cuộc tấn công bất ngờ, các chuyên gia bảo mật và thông báo công khai đều nhấn mạnh rằng lỗi use-after-free rất nguy hiểm, đặc biệt trong các phần mềm phổ biến như Office, được dùng trên hàng triệu máy tính khắp thế giới.

Ảnh hưởng: Lỗ hổng CVE-2025-30377 rất nguy hiểm vì những lý do sau:

- Cách tấn công: Dù cần truy cập cục bộ, hacker có thể khai thác từ xa bằng cách gửi file Office độc hại qua email, chia sẻ trên đám mây, ứng dụng chat, hoặc công cụ làm việc nhóm
- Tác động lớn: Mã độc có thể chạy dưới quyền của người mở file. Nếu người đó có quyền quản trị, hacker có thể gây hại nghiêm trọng hơn.
- Thói quen người dùng: Các công ty không kiểm soát chặt việc xử lý tài liệu hoặc dùng email là chính cho công việc dễ bị lừa bởi các chiêu thức tấn công tâm lý nhắm vào lỗ hổng này.

Theo các vụ tấn công tương tự trước đây, hacker thường dùng email lừa đảo, gửi tài liệu không rõ nguồn gốc, hoặc công cụ tự động để lây lan mã độc nhanh hơn.

2. Phương án khắc phục

⇒ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30377

3. Tài liệu tham khảo

Lỗ hổng bảo mật "Microsoft Office Remote Code Execution Vulnerability"

1. Thông tin lỗ hổng

Tên lỗ hổng: Microsoft Office Remote Code Execution Vulnerability

Mã lỗ hổng bảo mật: CVE-2025-30386
Mức độ nghiêm trọng: CVSS:3.1 – 8.4/10
Max Severity: Critical
Ngày công bố mã khai thác: May 13, 2025
Mức độ ảnh hưởng: Remote Code Execution (thực thi mã từ xa)
Đối tượng ảnh hưởng:
- Microsoft Office 2016 (64-bit edition)
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office LTSC for Mac 2024
- Microsoft Office LTSC 2024 for 64-bit editions
- Microsoft Office LTSC 2024 for 32-bit editions
- Microsoft Office for Android
- Microsoft Office LTSC 2021 for 32-bit editions
- Microsoft Office LTSC 2021 for 64-bit editions
- Microsoft Office LTSC for Mac 2021
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft 365 Apps for Enterprise for 32-bit Systems
- Microsoft Office 2019 for 64-bit editions
- Microsoft Office 2019 for 32-bit editions

Mô tả lỗ hổng:

Lỗi quản lý bộ nhớ, như use-after-free, từ lâu đã là vấn đề lớn trong phần mềm. Chúng nguy hiểm vì có thể vượt qua các lớp bảo vệ quan trọng của Windows, như DEP (data execution prevention) và ASLR (address space layout randomization).

Với CVE-2025-30386, lỗ hổng xảy ra khi Office xử lý các thuộc tính hoặc đối tượng nhúng trong tài liệu. Nếu một file độc hại được thiết kế khéo léo để đánh lừa Office, nó có thể khiến phần mềm sử dụng nhầm vùng bộ nhớ đã giải phóng, nơi mã độc đã được chèn vào. Kết quả, mã độc chạy ngay trong máy của người dùng nếu thời điểm được canh chuẩn.

Kiểu tấn công này rất khó bị antivirus phát hiện. Dù nhiều phần mềm bảo mật có thể theo dõi hành vi lạ của Office, các lỗ hổng zero-day như thế này thường qua mặt được cho đến khi có bản cập nhật hoặc biện pháp khắc phục.

Ảnh hưởng:

Lỗ hổng CVE-2025-30386 gây ra những nguy cơ lớn, không chỉ trên lý thuyết. Với các công ty lớn, tài liệu Office là công cụ chính để làm việc nhóm và lưu trữ thông tin. Nếu một máy tính trong mạng bị hack—đặc biệt ở nơi dùng ổ đĩa chung hoặc có quyền truy cập cao—hacker có thể lây lan sang máy khác, cài ransomware, hoặc đánh cắp dữ liệu.

Doanh nghiệp nhỏ, thường không có đội IT chuyên nghiệp hay công cụ cập nhật phần mềm tốt, rất dễ bị tấn công. Bệnh viện và trường học, nơi vẫn dùng máy tính cũ, cũng đối mặt nguy cơ lớn. Người dùng cá nhân cũng không thoát khỏi rủi ro: ảnh gia đình, hồ sơ thuế, hay thông tin cá nhân có thể bị hacker lấy mất. Gần đây, các vụ tấn công ransomware nhắm vào cá nhân qua file Office tăng mạnh, nhất là trong các dịp sự kiện lớn hoặc mùa khai thuế.

2. Phương án khắc phục

⇒ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30386

3. Tài liệu tham khảo

TẠI SAO NÊN LỰA CHỌN SOFT365 ?