CVE-2025-24269: Lỗ hổng SMBClient macOS Tiềm ẩn RCE Cấp Kernel

Một lỗ hổng nghiêm trọng đã được phát hiện trong SMBClient của Apple macOS, tiềm ẩn nguy cơ thực thi mã từ xa (RCE) và gây ra các sự cố kernel nghiêm trọng.

Tổng quan về lỗ hổng CVE-2025-24269

Lỗ hổng này được định danh là CVE-2025-24269 và được đánh giá với điểm CVSS 9.8, xếp nó vào danh sách các vấn đề bảo mật nghiêm trọng nhất ảnh hưởng đến nền tảng macOS trong những năm gần đây. Điểm số CVSS cao ngụ ý rằng đây là một lỗ hổng dễ bị khai thác, có tác động nghiêm trọng và không yêu cầu tương tác phức tạp từ phía kẻ tấn công hoặc nạn nhân.

Chi tiết kỹ thuật

Lỗ hổng CVE-2025-24269 nằm trong phần mở rộng kernel

smbfs.kext

của macOS, cụ thể là trong hàm

smb2_rq_decompress_read

. Về bản chất, lỗ hổng này là một lỗi tràn bộ nhớ heap (heap overflow) phát sinh do việc xử lý không đúng cách dữ liệu nén SMB2.

Khi SMBClient của macOS xử lý các gói tin SMB2 có chứa dữ liệu nén (sử dụng các thuật toán như LZNT1, LZ77 và LZ77_HUFFMAN), mã nguồn trong hàm

smb2_rq_decompress_read

không kiểm tra đúng giá trị độ dài

compress_len

được nhận từ mạng. Giá trị

compress_len

này, vốn chỉ định độ dài của dữ liệu nén, đáng lẽ phải được xác thực cẩn thận trước khi dữ liệu được sao chép vào một vùng đệm bộ nhớ kernel đã được cấp phát trước.

Kẻ tấn công có thể lợi dụng sự thiếu sót này bằng cách tạo một gói SMB độc hại. Trong gói tin này, kẻ tấn công thiết lập giá trị

compress_len

lớn hơn kích thước thực tế của vùng đệm đích trong bộ nhớ kernel. Khi hàm

smb2_rq_decompress_read

cố gắng sao chép dữ liệu với độ dài quá mức này, nó sẽ ghi đè lên các vùng nhớ liền kề vượt ra ngoài giới hạn của vùng đệm đã cấp phát, dẫn đến lỗi tràn bộ nhớ heap. Lỗi này cho phép kẻ tấn công kiểm soát hoặc làm hỏng các cấu trúc dữ liệu quan trọng trong không gian kernel, tạo điều kiện cho việc leo thang đặc quyền và thực thi mã tùy ý.

Tác động của lỗ hổng

Việc khai thác thành công CVE-2025-24269 mang lại cho kẻ tấn công khả năng thực thi mã tùy ý từ xa (Remote Code Execution – RCE) với đặc quyền cao nhất trên hệ thống – cấp độ kernel. Điều này có nghĩa là kẻ tấn công có thể:

• Thực thi bất kỳ lệnh hoặc chương trình nào trên hệ thống bị ảnh hưởng mà không cần quyền truy cập ban đầu.
• Kiểm soát hoàn toàn hệ điều hành macOS, bao gồm việc truy cập, sửa đổi hoặc xóa dữ liệu nhạy cảm.
• Cài đặt phần mềm độc hại, rootkits hoặc backdoor để duy trì quyền truy cập dai dẳng.
• Gây ra sự cố hệ thống (kernel crashes) cố ý hoặc ngẫu nhiên, dẫn đến tình trạng từ chối dịch vụ (Denial of Service – DoS) toàn diện, làm tê liệt hoạt động của máy.

Mức độ nghiêm trọng của lỗ hổng được nhấn mạnh bởi việc nó không yêu cầu xác thực người dùng hoặc tương tác vật lý. Điều này biến nó thành một mối đe dọa “zero-click” có thể bị khai thác từ xa qua mạng, chỉ cần SMBClient đang lắng nghe và xử lý các gói tin.

Phiên bản bị ảnh hưởng và tầm quan trọng của cập nhật

Lỗ hổng CVE-2025-24269 ảnh hưởng đến một loạt các phiên bản macOS gần đây, bao gồm macOS Sequoia, Monterey, Big Sur và Mojave. Điều này đồng nghĩa với việc hàng triệu người dùng trên toàn cầu đang phải đối mặt với rủi ro nghiêm trọng nếu hệ thống của họ chưa được vá.

Khả năng khai thác lỗ hổng từ xa qua mạng (network-exploitable) mà không cần bất kỳ hình thức xác thực người dùng hay tương tác nào làm cho nó trở nên đặc biệt nguy hiểm. Kẻ tấn công chỉ cần gửi một gói SMB độc hại đến hệ thống macOS mục tiêu để kích hoạt lỗ hổng, biến nó thành một mối đe dọa tiềm tàng đối với các môi trường doanh nghiệp và người dùng cá nhân.

Mặc dù macOS đã tích hợp các biện pháp bảo vệ heap kernel (kernel heap hardening) như ASLR (Address Space Layout Randomization) và các cơ chế khác để làm phức tạp các cuộc tấn công tràn bộ nhớ, nhưng kinh nghiệm cho thấy kẻ tấn công thường có thể tìm ra các phương pháp để vượt qua hoặc làm suy yếu các biện pháp phòng thủ này, cho phép họ thực hiện mục tiêu cuối cùng là thực thi mã tùy ý.

Giải pháp và khuyến nghị

Apple đã nhanh chóng phản ứng bằng cách phát hành các bản vá lỗi để khắc phục CVE-2025-24269. Lỗ hổng này đã được giải quyết trong macOS Sequoia 15.4 và các phiên bản macOS được hỗ trợ khác. Bản vá tập trung vào việc bổ sung các cơ chế kiểm tra hợp lệ chặt chẽ hơn cho các thao tác bộ nhớ bị ảnh hưởng trong hàm

smb2_rq_decompress_read

, ngăn chặn lỗi tràn bộ nhớ heap.

Để bảo vệ hệ thống của mình khỏi mối đe dọa này, người dùng được khuyến nghị thực hiện các hành động sau:

• Cập nhật ngay lập tức: Người dùng nên cập nhật hệ thống macOS của mình lên phiên bản mới nhất (ví dụ: macOS Sequoia 15.4 hoặc các bản cập nhật tương đương cho các phiên bản cũ hơn được hỗ trợ) ngay khi các bản vá có sẵn.
• Giám sát hoạt động mạng SMB: Các tổ chức nên chủ động giám sát lưu lượng truy cập SMB trên mạng của mình để phát hiện các hoạt động bất thường hoặc đáng ngờ có thể là dấu hiệu của việc khai thác.
• Phân đoạn mạng: Để hạn chế mức độ tiếp xúc và giảm thiểu tác động tiềm tàng của một cuộc tấn công thành công, việc phân đoạn mạng là cần thiết. Điều này giúp cô lập các hệ thống macOS và hạn chế khả năng lây lan của cuộc tấn công nếu một máy chủ bị xâm nhập.

Sự kết hợp giữa khả năng khai thác từ xa, tác động ở cấp độ kernel và mức độ dễ dàng trong việc tấn công làm nổi bật tính cấp bách của việc áp dụng các bản vá có sẵn và xem xét lại cấu hình mạng SMB trong mọi môi trường macOS.