Ảnh minh họa. Cyber Press

Lỗ hổng nghiêm trọng cho phép tin tặc chiếm quyền điều khiển máy chủ Windows

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo khẩn cấp về việc khai thác tích cực lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Dịch vụ cập nhật Windows Server (WSUS).

Lỗ hổng bảo mật được theo dõi là CVE-2025-59287, cho phép tội phạm mạng thực hiện mã từ xa với các đặc quyền cấp hệ thống trên các máy chủ dễ bị tấn công.

Theo Microsoft, lỗ hổng cho phép tin tặc bên ngoài gửi thông điệp đặc chế đến máy chủ WSUS, qua đó thực thi mã với quyền hệ thống (SYSTEM) mà không cần xác thực. Mức độ nguy hiểm được chấm 9,8/10 theo thang CVSS – thuộc nhóm Critical.

Lỗ hổng bảo mật này đặc biệt nhắm vào các máy chủ có WSUS Server Role đang hoạt động với cổng 8530 hoặc 8531 mở cho lưu lượng mạng. Đây là các cổng mặc định mà máy tính khách sử dụng để kết nối với máy chủ WSUS để nhận bản cập nhật.

Hackers khai thác lỗ hổng này có thể thực thi mã tùy ý từ xa mà không cần xác thực, cho phép kiểm soát hoàn toàn các hệ thống kết nối với máy chủ.

Quyền truy cập này cho phép tin tặc triển khai phần mềm tống tiền, đánh cắp dữ liệu nhạy cảm, thiết lập cửa hậu cố định hoặc chuyển sang các hệ thống khác trong mạng.

Sự kết hợp giữa khả năng thực thi từ xa và quyền truy cập cấp hệ thống khiến CVE-2025-59287 sẽ là mối đe dọa cực kỳ nguy hiểm đối với tổ chức, doanh nghiệp.

Điểm đáng lo ngại là WSUS là hạ tầng chuyên dùng để phân phối bản vá cho toàn hệ thống Windows trong các tổ chức, doanh nghiệp, nên nếu bị chiếm quyền, tội phạm có thể phát tán mã độc diện rộng qua chính kênh cập nhật này. Microsoft cũng cảnh báo lỗ hổng có khả năng lan truyền giữa các máy chủ WSUS chưa được vá.

Microsoft phát hành bản vá khẩn sau các vụ tấn công thực tế

Ngày 23/10/2025, Microsoft phát hành bản cập nhật out-of-band để xử lý triệt để CVE-2025-59287, sau khi xác định bản vá trong đợt cập nhật định kỳ chưa đủ toàn diện. Ngày 24/10, CISA đưa lỗ hổng này vào danh sách Known Exploited Vulnerabilities (KEV- lỗ hổng đã bị khai thác thực tế), đồng thời yêu cầu các cơ quan, tổ chức liên bang Mỹ phải áp dụng biện pháp khắc phục trước hạn chót 14/11/2025.

Theo báo cáo của nhóm nghiên cứu bảo mật Huntress Labs, một số tổ chức đã bị tấn công qua cổng TCP 8530/8531 – hai cổng mặc định mà WSUS sử dụng. Các cuộc tấn công khai thác lỗi xử lý dữ liệu đầu vào để chạy lệnh PowerShell hoặc cmd.exe, thu thập thông tin và thiết lập kết nối ngược ra bên ngoài.

Ít nhất bốn tổ chức được xác nhận bị xâm nhập thông qua lỗ hổng này, khiến cộng đồng bảo mật đặc biệt quan ngại về khả năng xuất hiện mã khai thác công khai (PoC) trong thời gian ngắn tới.

Khuyến cáo cho quản trị viên hệ thống của Microsoft

Các chuyên gia khuyến nghị quản trị viên cần ngay lập tức rà soát toàn bộ máy chủ đang bật vai trò WSUS, xác định có mở cổng 8530/8531 ra Internet hay không, và ưu tiên cài đặt bản vá ngày 23/10 của Microsoft.

Nếu chưa thể vá ngay, cần chặn toàn bộ truy cập đến hai cổng trên, hoặc tạm thời vô hiệu hóa vai trò WSUS để tránh bị khai thác. Sau khi cập nhật, nên khởi động lại máy chủ để đảm bảo bản vá có hiệu lực hoàn toàn. Một máy chủ WSUS bị xâm nhập có thể trở thành điểm phát tán mã độc trong toàn mạng, gây hậu quả nghiêm trọng cho hệ thống dữ liệu và vận hành.

An Lâm (Theo Cyber Press)