MinhSec
Writer
Microsoft vừa phát hành một bản cập nhật sửa lỗi quan trọng cho lỗ hổng bảo mật nghiêm trọng trong Dịch vụ cập nhật Windows Server (WSUS) vốn đang bị tin tặc khai thác mạnh trên diện rộng. Lỗ hổng được định danh CVE-2025-59287, cho phép kẻ tấn công thực thi mã từ xa (RCE) trên máy chủ mục tiêu.
Dù lỗi đã được vá trước đó trong bản cập nhật Patch Tuesday tháng 10, Microsoft phải phát hành thêm một bản vá khẩn cấp vì “bản sửa lỗi đầu tiên chưa khắc phục triệt để vấn đề”. Lỗ hổng này được chấm điểm CVSS 9,8 mức nguy hiểm rất cao do liên quan đến cơ chế tuần tự hóa (serialization) cũ, tạo điều kiện cho việc giải tuần tự hóa đối tượng không an toàn và chiếm quyền điều khiển hệ thống.
Nhiều công ty an ninh mạng cho biết hoạt động khai thác CVE-2025-59287 đã ghi nhận từ cuối tuần trước, đặc biệt nhắm vào các hệ thống WSUS công khai trên hai cổng mặc định 8530 và 8531.
Lỗ hổng đang bị tấn công tích cực, CISA đưa vào danh sách nguy hiểm
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa lỗ hổng này vào danh mục các lỗ hổng đã bị khai thác tích cực (KEV). Điều này đồng nghĩa các tổ chức có triển khai WSUS cần ưu tiên cập nhật ngay lập tức.
Trước đó, các chuyên gia của Hawktrace đã công bố phân tích kỹ thuật và chứng minh khả năng tấn công PoC. Họ chỉ ra vấn đề xuất phát từ việc AuthorizationCookie được gửi tới endpoint GetCookie() bị BinaryFormatter giải tuần tự hóa mà không có cơ chế xác thực kiểu dữ liệu phù hợp.
Giải pháp lâu dài được đề xuất là loại bỏ BinaryFormatter, chuyển sang cơ chế tuần tự hóa an toàn hơn, đồng thời áp dụng xác thực kiểu nghiêm ngặt và lọc sạch dữ liệu đầu vào.
Microsoft cũng khuyến cáo:
Chỉ những máy chủ có bật WSUS Server Role mới bị ảnh hưởng (vai trò này không bật mặc định).
Có thể tắt tạm thời WSUS Server Role nếu không cần thiết.
Chặn lưu lượng vào các cổng 8530 và 8531 trên tường lửa để giảm thiểu rủi ro.
Hiện Microsoft chưa công bố chi tiết bản vá đầu tiên thiếu sót ở đâu, nhưng cho biết khách hàng cài đặt bản cập nhật mới nhất đã được bảo vệ đầy đủ.
Dù lỗi đã được vá trước đó trong bản cập nhật Patch Tuesday tháng 10, Microsoft phải phát hành thêm một bản vá khẩn cấp vì “bản sửa lỗi đầu tiên chưa khắc phục triệt để vấn đề”. Lỗ hổng này được chấm điểm CVSS 9,8 mức nguy hiểm rất cao do liên quan đến cơ chế tuần tự hóa (serialization) cũ, tạo điều kiện cho việc giải tuần tự hóa đối tượng không an toàn và chiếm quyền điều khiển hệ thống.
Nhiều công ty an ninh mạng cho biết hoạt động khai thác CVE-2025-59287 đã ghi nhận từ cuối tuần trước, đặc biệt nhắm vào các hệ thống WSUS công khai trên hai cổng mặc định 8530 và 8531.
Lỗ hổng đang bị tấn công tích cực, CISA đưa vào danh sách nguy hiểm
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa lỗ hổng này vào danh mục các lỗ hổng đã bị khai thác tích cực (KEV). Điều này đồng nghĩa các tổ chức có triển khai WSUS cần ưu tiên cập nhật ngay lập tức.
Trước đó, các chuyên gia của Hawktrace đã công bố phân tích kỹ thuật và chứng minh khả năng tấn công PoC. Họ chỉ ra vấn đề xuất phát từ việc AuthorizationCookie được gửi tới endpoint GetCookie() bị BinaryFormatter giải tuần tự hóa mà không có cơ chế xác thực kiểu dữ liệu phù hợp.
Giải pháp lâu dài được đề xuất là loại bỏ BinaryFormatter, chuyển sang cơ chế tuần tự hóa an toàn hơn, đồng thời áp dụng xác thực kiểu nghiêm ngặt và lọc sạch dữ liệu đầu vào.
Microsoft cũng khuyến cáo:
Chỉ những máy chủ có bật WSUS Server Role mới bị ảnh hưởng (vai trò này không bật mặc định).
Có thể tắt tạm thời WSUS Server Role nếu không cần thiết.
Chặn lưu lượng vào các cổng 8530 và 8531 trên tường lửa để giảm thiểu rủi ro.
Hiện Microsoft chưa công bố chi tiết bản vá đầu tiên thiếu sót ở đâu, nhưng cho biết khách hàng cài đặt bản cập nhật mới nhất đã được bảo vệ đầy đủ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview