Alex Ventura
Writer
Microsoft xác nhận tồn tại lỗ hổng zero-day nghiêm trọng trong Web Distributed Authoring and Versioning (WebDAV), cho phép thực thi mã từ xa (RCE) nếu người dùng click vào link WebDAV độc hại.
Lỗ hổng có mã định danh là CVE-2025-33053, CVSS là 8,8, ảnh hưởng đến tất cả các phiên bản Windows (Windows 10, Windows 11, Windows Server) và đang bị tin tặc khai thác ngoài thực tế (chưa có PoC công khai).
Chiến thuật tấn công gồm dùng tập tin .url giả dạng PDF, khai thác cơ chế Process.Start() để thực thi file route.exe độc hại từ server WebDAV do tin tặc kiểm soát. Lỗ hổng này cho phép tin tặc từ xa thực thi mã độc trên hệ thống của nạn nhân chỉ bằng cách dụ họ bấm vào một đường link WebDAV được tạo đặc biệt. Nếu thành công, hacker có thể kiểm soát toàn bộ thiết bị. Dù khai thác cần có sự tương tác của người dùng (phải bấm vào link), nhưng rủi ro là rất lớn vì:
Lỗ hổng có thể bị khai thác từ xa qua mạng, người dùng dễ bị lừa click vào link WebDAV độc hại qua email, tin nhắn hoặc website giả mạo.
WebDAV được tích hợp sâu vào hệ thống Windows, đặc biệt trong các ứng dụng có chế độ Internet Explorer (IE Mode) như Microsoft Edge.
Thành phần nền tảng MSHTML (vốn thuộc Internet Explorer) vẫn còn tồn tại trên nhiều hệ thống, dù IE đã ngừng hoạt động.
Đặc biệt nguy hiểm với các hệ thống sử dụng chế độ tương thích Internet Explorer hoặc chưa cập nhật bản vá định kỳ.
Phạm vi ảnh hưởng: Mục tiêu bị tấn công nhắm vào các cơ sở quân sự tại Trung Đông.
Giải pháp khuyến nghị:
Cập nhật Windows ngay lập tức qua Windows Update.
Nếu sử dụng bản cập nhật "Security Only", hãy chắc chắn cài thêm bản cập nhật tích lũy dành cho Internet Explorer.
Tăng cường cảnh giác với các đường link lạ khi nhận được qua email, tin nhắn, mạng xã hội. Tuyệt đối không nên click vào các đường link lạ này nếu không chắc chắn và biết rõ nguồn gốc của chúng.
Tắt hoặc hạn chế sử dụng chế độ IE Mode nếu không cần thiết.
Đây là lỗ hổng nghiêm trọng về mặt kỹ thuật (RCE), nhưng hiện tại chưa ghi nhận mức độ ảnh hưởng đáng lo ngại tại Việt Nam. Tuy nhiên, do lỗ hổng đã bị khai thác ngoài thực tế, người dùng vẫn cần cập nhật bản vá bảo mật ngay lập tức để bảo vệ thiết bị và dữ liệu cá nhân. Đồng thời, tiếp tục theo dõi thêm thông tin và nâng cao cảnh giác trong thời gian tới.
Chiến thuật tấn công gồm dùng tập tin .url giả dạng PDF, khai thác cơ chế Process.Start() để thực thi file route.exe độc hại từ server WebDAV do tin tặc kiểm soát. Lỗ hổng này cho phép tin tặc từ xa thực thi mã độc trên hệ thống của nạn nhân chỉ bằng cách dụ họ bấm vào một đường link WebDAV được tạo đặc biệt. Nếu thành công, hacker có thể kiểm soát toàn bộ thiết bị. Dù khai thác cần có sự tương tác của người dùng (phải bấm vào link), nhưng rủi ro là rất lớn vì:
Lỗ hổng có thể bị khai thác từ xa qua mạng, người dùng dễ bị lừa click vào link WebDAV độc hại qua email, tin nhắn hoặc website giả mạo.
WebDAV được tích hợp sâu vào hệ thống Windows, đặc biệt trong các ứng dụng có chế độ Internet Explorer (IE Mode) như Microsoft Edge.
Thành phần nền tảng MSHTML (vốn thuộc Internet Explorer) vẫn còn tồn tại trên nhiều hệ thống, dù IE đã ngừng hoạt động.
Đặc biệt nguy hiểm với các hệ thống sử dụng chế độ tương thích Internet Explorer hoặc chưa cập nhật bản vá định kỳ.
Phạm vi ảnh hưởng: Mục tiêu bị tấn công nhắm vào các cơ sở quân sự tại Trung Đông.
Giải pháp khuyến nghị:
Cập nhật Windows ngay lập tức qua Windows Update.
Nếu sử dụng bản cập nhật "Security Only", hãy chắc chắn cài thêm bản cập nhật tích lũy dành cho Internet Explorer.
Tăng cường cảnh giác với các đường link lạ khi nhận được qua email, tin nhắn, mạng xã hội. Tuyệt đối không nên click vào các đường link lạ này nếu không chắc chắn và biết rõ nguồn gốc của chúng.
Tắt hoặc hạn chế sử dụng chế độ IE Mode nếu không cần thiết.
Đây là lỗ hổng nghiêm trọng về mặt kỹ thuật (RCE), nhưng hiện tại chưa ghi nhận mức độ ảnh hưởng đáng lo ngại tại Việt Nam. Tuy nhiên, do lỗ hổng đã bị khai thác ngoài thực tế, người dùng vẫn cần cập nhật bản vá bảo mật ngay lập tức để bảo vệ thiết bị và dữ liệu cá nhân. Đồng thời, tiếp tục theo dõi thêm thông tin và nâng cao cảnh giác trong thời gian tới.
Nguồn: Cyber Security News
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
