Windows Admin Center (WAC) là một công cụ quản lý dựa trên trình duyệt, được triển khai cục bộ, được các quản trị viên CNTT sử dụng để quản lý máy chủ, máy khách và cụm Windows từ một giao diện đồ họa tập trung. Trong một diễn biến quan trọng của tin tức an ninh mạng, một lỗ hổng Windows Admin Center nghiêm trọng mới được phát hiện cho phép tin tặc thực hiện tấn công thực thi mã từ xa (RCE) không cần xác thực chỉ với một cú nhấp chuột.
Mô tả CVE Nghiêm trọng trong Windows Admin Center
Lỗ hổng nghiêm trọng này, được Phòng thí nghiệm Nghiên cứu Cymulate phát hiện, cho phép kẻ tấn công đạt được quyền thực thi mã từ xa (remote code execution – RCE) không cần xác thực chỉ với một cú nhấp chuột.
Lỗ hổng Windows Admin Center này ảnh hưởng đến cả các triển khai WAC tích hợp Azure và các triển khai tại chỗ (on-premises).
Nó được định danh là CVE-2026-32196, cho thấy mức độ nghiêm trọng cao do khả năng chiếm quyền kiểm soát hệ thống từ xa mà không cần xác thực.
Chi tiết CVE-2026-32196 và Tác động
Bằng cách lừa nạn nhân truy cập một URL đã bị giả mạo, kẻ tấn công có thể bí mật thực thi các lệnh tùy ý và chiếm quyền kiểm soát các mạng mục tiêu.
Mức độ nghiêm trọng của CVE-2026-32196 được đánh giá là Critical (Quan trọng), thường tương ứng với điểm CVSS từ 9.0 trở lên.
Một cuộc tấn công thành công có thể dẫn đến việc cài đặt mã độc, đánh cắp dữ liệu nhạy cảm hoặc làm gián đoạn hoàn toàn hoạt động của hệ thống.
Cơ chế Khai thác và Chuỗi Tấn công lỗ hổng Windows Admin Center
Theo báo cáo kỹ thuật do Phòng thí nghiệm Nghiên cứu Cymulate công bố, chuỗi khai thác dựa trên ba điểm yếu kiến trúc cơ bản mà kẻ tấn công kết hợp để đạt được hiệu quả tối đa.
Nghiên cứu làm nổi bật các con đường tấn công và hậu quả khác nhau tùy thuộc vào cách môi trường Windows Admin Center được triển khai.
Phòng thí nghiệm Cymulate đã chứng minh rằng chuỗi tấn công hoàn chỉnh yêu cầu tương tác tối thiểu từ người dùng. Chi tiết về chuỗi khai thác có thể tham khảo tại đây.
Các Bước Thực hiện Khai thác
Để thực hiện cuộc tấn công, kẻ gian cần thực hiện các bước sau:
- Đăng ký một tên miền hợp lệ.
- Bảo mật một chứng chỉ web đáng tin cậy.
- Tạo một URL cổng WAC giả mạo.
Liên kết độc hại này sau đó có thể được phân phối qua email lừa đảo (phishing), các liên kết bị che giấu, hoặc chuyển hướng web tự động.
Khi nạn nhân không nghi ngờ nhấp vào liên kết, ứng dụng WAC sẽ tự động chuyển hướng lưu lượng truy cập đến máy chủ do kẻ tấn công kiểm soát.
Máy chủ giả mạo sau đó phản hồi bằng một thông báo lỗi được chế tạo đặc biệt, chứa các tập lệnh (script) ẩn.
Do ứng dụng không làm sạch phản hồi đến một cách đúng đắn, mã độc sẽ thực thi trực tiếp trong môi trường trình duyệt WAC có đặc quyền cao.
Điểm yếu Kiến trúc Cơ bản
Chuỗi tấn công này thành công nhờ sự kết hợp của các điểm yếu sau:
- Lỗi Chuyển hướng URL (Open Redirect): Khả năng WAC chuyển hướng người dùng đến một URL bên ngoài mà không xác thực đầy đủ đích đến. Điều này cho phép kẻ tấn công điều khiển nạn nhân truy cập máy chủ độc hại của chúng.
- Thiếu Sanitization Phản hồi Máy chủ (Server Response Sanitization): Ứng dụng WAC không kiểm tra hoặc làm sạch đúng cách các dữ liệu trong phản hồi từ máy chủ, đặc biệt là trong các thông báo lỗi. Điều này tạo điều kiện cho việc chèn và thực thi mã độc hại.
- Thực thi trong Môi trường Đặc quyền cao: Mã độc được thực thi trong môi trường trình duyệt WAC, nơi có quyền truy cập sâu vào hệ thống, cho phép chiếm quyền điều khiển và thực hiện các hành động độc hại.
Việc này chứng minh rõ ràng rằng các nhà phát triển phải kiểm tra nghiêm ngặt cả đầu vào của máy khách và phản hồi của máy chủ để ngăn chặn các cuộc tấn công phức tạp.
Phạm vi Ảnh hưởng và Biện pháp Khắc phục lỗ hổng Windows Admin Center
Microsoft đã nhận được thông tin về các lỗ hổng vào ngày 22 tháng 8 năm 2025. Sau báo cáo, Microsoft đã thành công áp dụng các bản vá phía máy chủ để bảo mật tất cả các phiên bản được quản lý bởi Azure.
Do bản vá này được triển khai ở phía dịch vụ, khách hàng đám mây được bảo vệ tự động mà không yêu cầu bất kỳ hành động thủ công nào.
Tuy nhiên, các tổ chức sử dụng triển khai WAC tại chỗ phải chủ động cập nhật hệ thống của họ lên phiên bản mới nhất để đóng lỗ hổng Windows Admin Center và ngăn chặn khai thác.
Yêu cầu Cập nhật Bản vá Bảo mật
Phòng thí nghiệm Nghiên cứu Cymulate đặc biệt khuyên tất cả các nhóm bảo mật quản lý triển khai Windows Admin Center tại chỗ nên nâng cấp lên bản phát hành Microsoft đã vá lỗi mới nhất ngay lập tức.
Quản trị viên phải xác minh rằng không còn bất kỳ phiên bản lỗi thời nào đang hoạt động trên mạng của họ để ngăn chặn sự xâm nhập hoàn toàn vào cơ sở hạ tầng.
# Ví dụ về kiểm tra phiên bản WAC (nếu có thể áp dụng) hoặc lệnh cập nhật
# Cập nhật WAC thông qua PowerShell (giả định)
# Get-Module -Name 'WindowsAdminCenter' | Select-Object Version
# Start-BitsTransfer -Source "https://aka.ms/wac/download" -Destination "$env:TEMP\WindowsAdminCenter.msi"
# Start-Process msiexec.exe -Wait -ArgumentList "/i $env:TEMP\WindowsAdminCenter.msi /quiet /norestart"
# Kiểm tra phiên bản hiện tại của WAC
# Mở Windows Admin Center và kiểm tra trong phần cài đặt hoặc About.
# Đảm bảo phiên bản đã được cập nhật lên bản vá lỗi mới nhất của Microsoft.
Việc không cập nhật kịp thời có thể khiến hệ thống trở thành mục tiêu dễ dàng cho các cuộc tấn công mạng, gây ra rủi ro nghiêm trọng về an toàn thông tin.
Tầm quan trọng của Kiểm soát Đầu vào và Phản hồi
Sự cố này một lần nữa khẳng định tầm quan trọng của việc kiểm soát đầu vào (input validation) và làm sạch dữ liệu (data sanitization) trong quá trình phát triển phần mềm.
Bất kỳ ứng dụng nào xử lý dữ liệu từ các nguồn bên ngoài, dù là đầu vào của người dùng hay phản hồi từ các máy chủ khác, đều phải triển khai các biện pháp bảo vệ mạnh mẽ để ngăn chặn việc chèn và thực thi mã độc.
Mặc dù khách hàng WAC được lưu trữ trên Azure đã được bảo vệ, rủi ro bảo mật vẫn còn rất cao đối với các mạng nội bộ sử dụng triển khai tại chỗ của lỗ hổng Windows Admin Center.
Các nhóm bảo mật cần xem xét và thực hiện các biện pháp phòng thủ đa tầng, bao gồm cả việc theo dõi lưu lượng mạng và nhật ký hệ thống để phát hiện các dấu hiệu bất thường có thể liên quan đến việc khai thác lỗ hổng này.
