CVE-2025-21333: Lỗ hổng trong Windows Hyper-V (VSP)

03/03/2025
2 mins read

CVE-2025-21333 là một lỗ hổng bảo mật nghiêm trọng được xác định trong thành phần Windows Hyper-V NT Kernel Integration Virtual Service Provider (VSP) của Microsoft Windows. Đây là một lỗ hổng thuộc loại Heap-based Buffer Overflow (tràn bộ đệm dựa trên heap), cho phép kẻ tấn công leo thang đặc quyền (Elevation of Privilege – EoP) từ tài khoản người dùng thông thường lên mức SYSTEM, cấp quyền kiểm soát cao nhất trên hệ thống bị ảnh hưởng. Lỗ hổng này đã được Microsoft công bố và vá trong bản cập nhật Patch Tuesday tháng 1 năm 2025, nhưng điều đáng chú ý là nó đã bị khai thác trong thực tế dưới dạng zero-day trước khi bản vá được phát hành.

Nội dung
Chi tiết kỹ thuật
Quá trình khai thác
Tác động
Bản vá và giảm thiểu
Khuyến nghị:
PoC

Chi tiết kỹ thuật

  • Mã CVE: CVE-2025-21333
  • Điểm CVSS v3.1: 7.8 (được xếp hạng “Quan trọng” – Important)
  • Thành phần bị ảnh hưởng: Trình điều khiển vkrnlintvsp.sys trong Hyper-V, một nền tảng ảo hóa của Microsoft dùng để quản lý giao tiếp giữa máy ảo và hệ điều hành chủ.
  • Loại lỗ hổng: Tràn bộ đệm heap, xảy ra khi dữ liệu được ghi vượt quá kích thước bộ đệm được cấp phát trong vùng heap, dẫn đến khả năng ghi đè dữ liệu quan trọng hoặc thực thi mã tùy ý.
  • Điều kiện khai thác:
    • Kẻ tấn công cần có quyền truy cập cục bộ (local access) và đã được xác thực (authenticated) trên hệ thống.
    • Không yêu cầu tương tác của người dùng bổ sung.
    • Độ phức tạp tấn công thấp (low complexity), nghĩa là không cần kỹ năng nâng cao để khai thác.
  • Hệ thống bị ảnh hưởng: Các phiên bản Windows có bật Hyper-V, bao gồm Windows 10, Windows 11 (22H2, 23H2, 24H2), Windows Server 2022 và 2025 (bao gồm cả cài đặt Server Core).

Quá trình khai thác

Lỗ hổng này nằm trong cách Hyper-V xử lý quyền hạn và dữ liệu trong kernel. Cụ thể, việc quản lý quyền không đầy đủ trong Virtual Service Provider cho phép kẻ tấn công thực thi mã ở cấp độ kernel NT bằng cách lợi dụng tình trạng tràn heap. Một số báo cáo cho thấy:

  • Kẻ tấn công có thể sử dụng các kỹ thuật như I/O Ring hoặc thao tấu dữ liệu trạng thái WNF (Windows Notification Facility) để đạt được quyền đọc/ghi tùy ý trong kernel.
  • Proof-of-Concept (PoC) đã được phát triển (ví dụ, mã khai thác từ GitHub của MrAle98), chứng minh khả năng leo thang đặc quyền bằng cách ghi đè cấu trúc _IOP_MC_BUFFER_ENTRY.

Tác động

  • Leo thang đặc quyền: Từ tài khoản người dùng cơ bản lên SYSTEM, cho phép kiểm soát hoàn toàn hệ thống.
  • Khai thác thực tế: Được Microsoft xác nhận là đã bị khai thác trong tự nhiên (in-the-wild) trước khi vá, khiến nó trở thành mối đe dọa đáng kể cho các hệ thống chưa cập nhật.
  • Mục tiêu tiềm năng: Các hệ thống doanh nghiệp sử dụng Hyper-V để chạy máy ảo, đặc biệt trong môi trường máy chủ.

Bản vá và giảm thiểu

Microsoft đã phát hành bản vá cho CVE-2025-21333 vào ngày 14 tháng 1 năm 2025 trong khuôn khổ Patch Tuesday. Các bản cập nhật cụ thể bao gồm:

  • Windows Server 2025: KB5050009
  • Windows 11 24H2: KB5050009
  • Windows 11 23H2: KB5050021
  • Windows 10 22H2: KB5049981
  • Và các bản vá tương ứng cho các phiên bản khác.

Khuyến nghị:

  • Cập nhật ngay lập tức các hệ thống bị ảnh hưởng lên phiên bản mới nhất.
  • Nếu không thể vá ngay, hạn chế quyền truy cập cục bộ vào hệ thống và tắt Hyper-V nếu không cần thiết.
  • Theo dõi nhật ký hệ thống để phát hiện các dấu hiệu khai thác (ví dụ: sử dụng công cụ như Nessus hoặc kiểm tra trạng thái dịch vụ Hyper-V bằng PowerShell: Get-Service hyperv*).

PoC

Link: https://t.me/AdSecVN/555

Tags