Phân Tích Lỗ Hổng CVE-2025-33053: RCE trong WebDAV và Khai Thác Trong Thực Tế
Một lỗ hổng nghiêm trọng được gán mã CVE-2025-33053 đã được phát hiện trong giao thức Web Distributed Authoring and Versioning (WebDAV), một phần mở rộng của giao thức HTTP cho phép tương tác với các tệp trên máy chủ từ xa. Lỗ hổng này là một vấn đề thực thi mã từ xa (Remote Code Execution – RCE) và đã bị khai thác trong thực tế bởi một nhóm Advanced Persistent Threat (APT) có tên Stealth Falcon (còn được biết đến với tên gọi FruityArmor) vào tháng 3 năm 2025. Bài viết này sẽ cung cấp thông tin chi tiết về lỗ hổng, cách thức khai thác, mức độ ảnh hưởng và các biện pháp khắc phục.
Chi Tiết Về Lỗ Hổng CVE-2025-33053
Lỗ hổng CVE-2025-33053 cho phép kẻ tấn công thực thi mã độc hại từ xa thông qua giao thức WebDAV. Dưới đây là các thông tin chính:
- Mức Độ Nghiêm Trọng: Được xếp hạng với điểm số CVSS 8.8, thể hiện mức độ nghiêm trọng cao và khả năng gây ảnh hưởng lớn đến an ninh của các doanh nghiệp.
- Phạm Vi Ảnh Hưởng: Dù WebDAV là giao thức đã lỗi thời, lỗ hổng này vẫn tồn tại trong các phiên bản Windows và Windows Server mới nhất, cũng như một số phiên bản cũ vẫn được hỗ trợ.
Chi Tiết Khai Thác Trong Thực Tế
Nhóm APT Stealth Falcon đã khai thác lỗ hổng zero-day này thông qua các chiến dịch tấn công tinh vi. Dưới đây là cách thức thực hiện:
- Vector Tấn Công: Kẻ tấn công bắt đầu với một email lừa đảo (phishing) chứa tệp
.urlđược ngụy trang thành tài liệu PDF liên quan đến thiệt hại thiết bị quân sự. Khi người dùng chạy tệp này, lỗ hổng zero-day trong WebDAV bị khai thác, cho phép thực thi malware từ máy chủ WebDAV do kẻ tấn công kiểm soát. - Kỹ Thuật Thực Thi: Kẻ tấn công lợi dụng thứ tự tìm kiếm thực thi tệp của Windows để lừa một tiện ích tích hợp sẵn của hệ điều hành chạy chương trình độc hại từ máy chủ từ xa. Kỹ thuật này giúp Stealth Falcon thực thi mã mà không cần ghi tệp trực tiếp lên máy受害者, qua đó né tránh phát hiện bằng cách tận dụng các thành phần Windows hợp pháp và đáng tin cậy.
Ảnh Hưởng và Bản Vá
Lỗ hổng CVE-2025-33053 gây ra rủi ro nghiêm trọng, đặc biệt trong các môi trường doanh nghiệp nơi WebDAV vẫn được sử dụng hoặc chưa vô hiệu hóa. Microsoft đã khắc phục lỗ hổng này trong bản cập nhật Patch Tuesday tháng 6 năm 2025, cùng với 66 lỗ hổng khác. Bản vá được áp dụng cho cả các phiên bản Windows và Windows Server mới nhất cũng như một số phiên bản cũ vẫn còn được hỗ trợ, dù WebDAV đã bị coi là lỗi thời.
Hướng Dẫn Khắc Phục
Để giảm thiểu rủi ro từ lỗ hổng này, các tổ chức và chuyên viên quản trị hệ thống cần thực hiện các biện pháp sau:
- Cập Nhật Bản Vá: Đảm bảo rằng tất cả hệ thống được cập nhật với bản vá mới nhất từ Microsoft, đặc biệt là các bản cập nhật từ tháng 6 năm 2025. Hãy triển khai bản vá trên cả các phiên bản Windows và Windows Server đang sử dụng.
- Giám Sát và Phát Hiện: Tăng cường giám sát các hoạt động mạng liên quan đến giao thức WebDAV, đặc biệt nếu giao thức này không được sử dụng trong tổ chức.
- Đào Tạo Nhận Thức: Giáo dục người dùng về nguy cơ từ các email lừa đảo và cách nhận diện các tệp đính kèm đáng ngờ hoặc các liên kết không rõ nguồn gốc.
- Vô Hiệu Hóa WebDAV (nếu không cần thiết): Xem xét tắt giao thức WebDAV trên các máy chủ và máy trạm nếu không sử dụng, nhằm giảm bề mặt tấn công.
Kết Luận
Lỗ hổng CVE-2025-33053 là một ví dụ điển hình về việc các giao thức cũ như WebDAV vẫn có thể trở thành mục tiêu của các nhóm APT tinh vi như Stealth Falcon. Với điểm số CVSS cao và khả năng bị khai thác trong thực tế, việc cập nhật bản vá và tăng cường các biện pháp phòng ngừa là vô cùng quan trọng. Các chuyên viên bảo mật và quản trị hệ thống cần ưu tiên xử lý lỗ hổng này để bảo vệ hạ tầng CNTT của tổ chức.
