Một lỗ hổng CVE leo thang đặc quyền nghiêm trọng đã được phát hiện trong client Windows của Check Point Harmony SASE (Secure Access Service Edge). Lỗ hổng này, được theo dõi dưới mã CVE-2025-9142, ảnh hưởng đến các phiên bản trước 12.2.
Kẻ tấn công cục bộ có thể khai thác lỗ hổng CVE này để ghi hoặc xóa các tệp bên ngoài thư mục làm việc của chứng chỉ. Điều này tiềm ẩn nguy cơ dẫn đến chiếm quyền điều khiển hệ thống ở cấp độ cao nhất.
Phân tích Kỹ thuật Lỗ hổng CVE-2025-9142
Bản chất Lỗ hổng và Thành phần Ảnh hưởng
Lỗ hổng CVE-2025-9142 tồn tại trong thành phần Service của phần mềm Perimeter81 (tệp thực thi Perimeter81.Service.exe). Thành phần này hoạt động với đặc quyền SYSTEM.
Nguyên nhân gốc rễ của lỗ hổng CVE này là do việc xác thực không đầy đủ các giá trị JWT (JSON Web Token) trong quá trình xác thực. Khi người dùng khởi tạo luồng đăng nhập Perimeter81 thông qua một URI handler, token JWT được chuyển đến service qua cuộc gọi IPC.
Tuy nhiên, token này được xử lý mà không có sự xác minh chữ ký đúng cách. Điều này tạo điều kiện cho việc thao túng dữ liệu đầu vào.
Quy trình Khai thác Chi tiết
Kẻ tấn công có thể tạo một URL perimeter81:// được thiết kế đặc biệt với JWT đã bị giả mạo. JWT này có thể chứa các chuỗi directory traversal (ví dụ: ../../../) trong trường ID tenant.
Thao tác này cho phép bỏ qua các kiểm soát xác thực và truy cập thành phần service cục bộ, nơi mã hóa thất bại trong việc xác thực token trước khi xử lý.
Chuỗi khai thác lỗ hổng CVE này diễn ra qua hai giai đoạn riêng biệt:
- Giai đoạn 1: Kẻ tấn công đăng ký một domain xác thực giả mạo. Ví dụ, p81-falcon.com đã có sẵn để đăng ký tại thời điểm phát hiện. Domain này vượt qua quá trình xác thực whitelist của client. Thao tác JWT cho phép directory traversal, buộc service Perimeter81 tạo các cấu trúc thư mục bên ngoài vị trí dự kiến.
- Giai đoạn 2: Tận dụng kỹ thuật symbolic link injection. Khi hàm
GenerateAndLoadCertificates()thực thi, nó sẽ ghi các chứng chỉ client vào thư mục làm việc do kẻ tấn công kiểm soát với đặc quyền SYSTEM.
Bằng cách khai thác Windows Object Manager và các symlink thư mục RPC Control, kẻ tấn công có thể chuyển hướng việc ghi chứng chỉ đến các vị trí hệ thống tùy ý, chẳng hạn như C:\Windows\System32.
Khả năng này cho phép kẻ tấn công ghi đè các tệp hệ thống quan trọng hoặc inject các DLL độc hại. Giám sát quy trình đã tiết lộ service cố gắng tải các DLL bị thiếu từ thư mục làm việc của nó.
Bằng cách đặt một DLL độc hại vào các vị trí dự kiến này, kẻ tấn công có thể thực thi mã khi service Perimeter81 khởi động lại. Điều này dẫn đến việc leo thang đặc quyền lên cấp độ SYSTEM, tức là chiếm quyền điều khiển hoàn toàn.
Mức độ nghiêm trọng của lỗ hổng CVE này còn tăng lên do logic xử lý tệp của service không thực thi các ranh giới tin cậy chặt chẽ giữa đầu vào của người dùng và các hoạt động có đặc quyền.
Các chỉ số thỏa hiệp (IOCs) Tiềm năng
Để phát hiện các hoạt động liên quan đến khai thác lỗ hổng CVE-2025-9142, các tổ chức nên theo dõi các chỉ số sau:
- Domain giả mạo:
p81-falcon.com(hoặc các domain tương tự không thuộc sở hữu của Check Point hoặc Perimeter81 được sử dụng để xác thực). - Hoạt động ghi tệp bất thường: Ghi các tệp mới hoặc ghi đè các tệp hiện có trong các thư mục hệ thống quan trọng (ví dụ:
C:\Windows\System32) bởi tiến trìnhPerimeter81.Service.exe. - Tải DLL bất thường: Tiến trình
Perimeter81.Service.execố gắng tải các DLL từ các vị trí không tiêu chuẩn hoặc các DLL có mã băm không xác định.
Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật
Lịch trình Phát hiện và Vá lỗi
Check Point đã được thông báo về lỗ hổng CVE này vào ngày 16 tháng 3 năm 2025. Một bản vá bảo mật đã được phát hành trong phiên bản 12.2 vào ngày 18 tháng 11 năm 2025.
Lỗ hổng CVE-2025-9142 sau đó đã được công bố công khai vào ngày 14 tháng 1 năm 2026. Thông tin chi tiết có thể được tham khảo trong tư vấn của Amberwolf: Check Point Harmony SASE Local Privilege Escalation – CVE-2025-9142.
Để đảm bảo an toàn, các tổ chức nên kiểm tra thông báo từ Check Point tại: Check Point Security Advisory sk184557.
Khuyến nghị Bảo mật Quan trọng
Các tổ chức đang sử dụng Check Point Harmony SASE phải thực hiện cập nhật bản vá ngay lập tức lên phiên bản 12.2 hoặc mới hơn. Đây là bước cấp thiết để giảm thiểu rủi ro bảo mật từ các cuộc tấn công leo thang đặc quyền cục bộ.
Ngoài ra, cần tăng cường bảo mật bằng cách hạn chế quyền truy cập quản trị cục bộ. Việc triển khai tính năng whitelist ứng dụng cũng là một biện pháp hữu hiệu.
Điều này giúp ngăn chặn các cuộc tấn công DLL injection trái phép và củng cố tổng thể an ninh mạng của hệ thống.










