VnReview - Cộng đồng đánh giá, tư vấn sản phẩm và thông tin khoa học đời sống
🔍
Đăng nhập ✏️ Đăng bài Đăng ký

Microsoft vá 107 lỗ hổng, chặn zero-day trong Windows Kerberos

4

404 Not Found

Writer
Ngày 12/8, Microsoft công bố bản vá bảo mật tháng 8/2025, xử lý tổng cộng 107 lỗ hổng, trong đó có một lỗ hổng zero-day đã được công bố công khai trong Windows Kerberos. Đây là lỗ hổng nâng quyền đặc biệt, cho phép kẻ tấn công đã xác thực có thể giành quyền quản trị miền.

Microsoft.png

Theo Microsoft, lỗi này xuất phát từ vấn đề “relative path traversal” trong Windows Kerberos. Kẻ tấn công cần có quyền truy cập nâng cao vào hai thuộc tính dMSA gồm msds-groupMSAMembership và msds-ManagedAccountPrecededByLink để khai thác. Lỗ hổng được phát hiện bởi Yuval Gordon (Akamai) và đã được mô tả kỹ thuật từ tháng 5.

Phân loại mức độ nghiêm trọng​

Trong 107 lỗ hổng, có 13 lỗi được đánh giá nghiêm trọng - mức cảnh báo cao nhất trong thang đo của Microsoft. Nhóm này bao gồm 9 lỗi thực thi mã từ xa (RCE), 3 lỗi rò rỉ thông tin và 1 lỗi nâng quyền. Ngoài ra còn có 44 lỗi nâng quyền, 35 lỗi RCE, 18 lỗi rò rỉ thông tin, 4 lỗi từ chối dịch vụ và 9 lỗi giả mạo.

Bản vá tháng này không tính các lỗi trong Mariner, Azure và Microsoft Edge đã được sửa trước đó trong tháng.

Cập nhật bảo mật nổi bật từ các hãng khác​

Cùng thời điểm, nhiều hãng công nghệ lớn cũng phát hành bản vá:
  • 7-Zip sửa lỗi path traversal có thể dẫn tới RCE
  • Adobe vá khẩn cấp các zero-day trong AEM Forms sau khi xuất hiện PoC
  • Cisco cập nhật cho WebEx và Identity Services Engine
  • Fortinet vá nhiều sản phẩm như FortiOS, FortiManager, FortiSandbox, FortiProxy
  • Google khắc phục hai lỗ hổng Qualcomm đang bị khai thác tích cực trên Android
  • Proton sửa lỗi ứng dụng Authenticator iOS ghi log thông tin TOTP ở dạng thô
  • Trend Micro phát hành công cụ khắc phục tạm thời cho lỗ hổng RCE đang bị khai thác trong Apex One
  • WinRAR vá lỗi path traversal nghiêm trọng có thể dẫn đến RCE
Các chuyên gia khuyến nghị người dùng và quản trị viên nhanh chóng áp dụng các bản vá để giảm thiểu rủi ro bị khai thác, đặc biệt với lỗ hổng zero-day trong Windows Kerberos.

Theo WhiteHat
 
Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview
Bình Luận

1,3 tỷ mật khẩu bị rò rỉ, đẩy hàng triệu tài khoản trực tuyến vào nguy hiểm

PIN
  • 10,786
  • 0
Một kho dữ liệu khổng lồ vừa bị tung lên web "đen", làm dấy lên cảnh báo về nguy cơ đột nhập tài khoản trên phạm vi toàn cầu. Quy mô rò rỉ lần này...
Xem tiếp…

LANDFALL: Biến ảnh gửi qua WhatsApp thành vũ khí tấn công người dùng Samsung

PIN
  • 10,684
  • 0
Các chuyên gia an ninh mạng vừa phát hiện một loại phần mềm gián điệp cực kỳ tinh vi có tên LANDFALL, đang âm thầm tấn công người dùng điện thoại...
Xem tiếp…

Liên minh 3 nhóm hacker khét tiếng thành thế lực đe dọa toàn cầu

PIN
  • 14,272
  • 0
Một “liên minh” mới của giới tội phạm mạng đang khiến các chuyên gia bảo mật lo ngại. Ba nhóm hacker khét tiếng: Scattered Spider, LAPSUS$ và...
Xem tiếp…

Cảnh báo: Mã độc giả mạo Telegram X chiếm toàn bộ điện thoại và thiết bị của bạn

PIN
  • 11,744
  • 0
Các chuyên gia vừa cảnh báo về một chiến dịch mã độc trên Android, giả mạo ứng dụng Telegram X, có khả năng chiếm quyền kiểm soát gần như toàn bộ...
Xem tiếp…

Hơn 48.000 thiết bị Cisco đối mặt làn sóng tấn công từ ba lỗ hổng nghiêm trọng

PIN
  • 10,821
  • 0
Cisco đang gặp cảnh báo an ninh mạng nghiêm trọng khi ba lỗ hổng mới được phát hiện trên các sản phẩm cốt lõi của hãng. Hai lỗ hổng ảnh hưởng đến...
Xem tiếp…

Cháy trung tâm dữ liệu, hơn 600 dịch vụ chính phủ Hàn Quốc tê liệt

PIN
  • 12,486
  • 0
Một vụ cháy nghiêm trọng tại Trung tâm Dữ liệu Quốc gia ở thành phố Daejeon đã khiến hơn 600 hệ thống CNTT của chính phủ Hàn Quốc đồng loạt ngừng...
Xem tiếp…

Khi dữ liệu số bị lộ: Hacker có thể làm gì với các thông tin tài chính của bạn?

PIN
  • 14,367
  • 1
Các vụ tấn công mạng gần đây cho thấy sự hoạt động của tin tặc đã và đang gia tăng trở lại, đe dọa đến an ninh dữ liệu của người dùng số. Đặt tình...
Xem tiếp…

Apple vá lỗ hổng nghiêm trọng trong hệ thống xử lý hình ảnh: Người dùng cần cập nhật ngay

PIN
  • 15,535
  • 0
Apple vừa phát hành bản vá bảo mật để khắc phục lỗ hổng nguy hiểm CVE-2025-43300 trong hệ thống xử lý hình ảnh. Lỗ hổng này cho phép tin tặc chiếm...
Xem tiếp…

HP OmniBook X Flip 14: Laptop chuẩn Copilot+ PC với AI mạnh mẽ, thiết kế linh hoạt cho người dùng hiện đại

PIN
  • 16,256
  • 0
Sự xuất hiện của dòng laptop chuẩn Copilot+ PC đang tạo nên làn sóng mới trong thị trường máy tính, nơi AI trở thành lõi công nghệ mang lại hiệu...
Xem tiếp…

Những hiểu nhầm với quy định mới về xác nhận SIM chính chủ

Thg 4 16
  • 350
  • 0
Nhiều người hiểu chưa đúng về quy định mới liên quan đến xác thực thông tin thuê bao di động, có hiệu lực từ 15/4, khiến lo ngại bị khóa SIM...
Nóng trên mạng
Xem tiếp…
Back