Các lỗ hổng Active Directory và Khai thác gần đây: Mối đe dọa bảo mật mới

09/04/2025
1 mins read
Nội dung
Các lỗ hổng Active Directory
CVE-2025-21293
CVE-2025-27740
Các khai thác gần đây
CVE-2025-29824
Khuyến nghị

Các lỗ hổng Active Directory

CVE-2025-21293

Mô tả: Một lỗ hổng tăng quyền nghiêm trọng trong Microsoft Active Directory Domain Services (AD DS) ảnh hưởng đến quyền của nhóm Network Configuration Operators.

Khám phá: Kẻ tấn công có thể đăng ký một DLL độc hại mà Windows sẽ thực thi với quyền SYSTEM, cho phép kiểm soát hoàn toàn. Lỗ hổng này có điểm số CVSS là 8.8 (Cao).

Sản phẩm bị ảnh hưởng: Windows 10 (32-bit và 64-bit), Windows 10 (ARM64), Windows 11 (64-bit và ARM64), và các phiên bản Windows Server khác.

CVE-2025-27740

Mô tả: Một lỗ hổng tăng quyền (EoP) ảnh hưởng đến Active Directory Certificate Services. Nó được gán điểm số CVSSv3 là 8.8 và được xếp loại là quan trọng.

Khám phá: Việc khai thác thành công sẽ cho phép kẻ tấn công lấy quyền quản trị viên miền bằng cách thao túng các tài khoản máy tính. Lỗ hổng này được đánh giá là “Khai thác ít có khả năng”.

Các khai thác gần đây

CVE-2025-29824

Mô tả: Một lỗ hổng user-after-free trong Hệ thống Tệp Nhật ký Chung Windows (CLFS) có thể bị khai thác để tăng quyền lên SYSTEM trên các máy Windows đã bị xâm nhập trước đây.

Khám phá: Lỗ hổng này đang được một nhóm ransomware có tên là Storm-2460 khai thác, sử dụng phần mềm độc hại PipeMagic để thực hiện các cuộc tấn công ransomware.

Chỉ số thỏa hiệp: Việc tạo một tệp CLFS BLF (`C:\\ProgramData\\SkyPDF\\PDUDrv.blf`) và việc tiêm một payload vào `winlogon.exe` là những chỉ số của cuộc tấn công này.

Khuyến nghị

  • Quản lý bản vá: Các tổ chức được khuyên nên áp dụng các bản vá bảo mật mới nhất kịp thời để giảm thiểu rủi ro từ các lỗ hổng này.
  • Các biện pháp bảo mật nhiều lớp: Thực hiện các biện pháp bảo mật nhiều lớp như kích hoạt bảo vệ đám mây trong Microsoft Defender Antivirus, sử dụng phát hiện thiết bị để xác định các hệ thống không quản lý và chạy phát hiện và phản ứng điểm cuối (EDR) ở chế độ chặn có thể giúp ngăn chặn các hoạt động độc hại.
  • Giám sát: Các nhóm bảo mật nên theo dõi driver CLFS chặt chẽ bằng cách sử dụng các công cụ EDR/XDR, chú ý đến các tiến trình tương tác với `clfs.sys`, được sinh ra bởi nó, hoặc hiển thị hành vi bất thường khi giao tiếp với các driver khác hoặc không gian bộ nhớ.