Microsoft đã công bố một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa (RCE) trong hệ sinh thái Office, có thể bị khai thác thông qua một tệp Excel độc hại. Lỗ hổng này, được theo dõi dưới mã định danh CVE-2025-60727, ảnh hưởng đến nhiều phiên bản Microsoft Office và nhấn mạnh rủi ro liên tục từ các kỹ thuật tấn công dựa trên tài liệu, thường được sử dụng trong các chiến dịch lừa đảo (phishing). Cảnh báo CVE này cho thấy sự cần thiết phải liên tục cập nhật bản vá bảo mật.
Chi tiết kỹ thuật về Lỗ hổng CVE-2025-60727
Phân loại và Nguyên nhân Gốc rễ
Lỗ hổng được phân loại là một lỗi đọc ngoài vùng đệm (out-of-bounds read), tương ứng với mã định danh CWE-125. Vấn đề nằm ở cách Microsoft Excel xử lý các cấu trúc tệp được chế tạo đặc biệt. Khi một tài liệu Excel độc hại được mở, ứng dụng có thể đọc dữ liệu từ các vùng bộ nhớ nằm ngoài vùng đệm được cấp phát.
Nguyên nhân gốc rễ của lỗi này là do việc xác thực không đầy đủ các giá trị độ dài và độ lệch trong quá trình phân tích cú pháp tệp Excel. Khi Excel xử lý một tệp bị lỗi cấu trúc, nó có thể đọc dữ liệu vượt quá giới hạn bộ nhớ đã phân bổ.
Cơ chế Khai thác
Cơ chế khai thác yêu cầu tương tác từ người dùng, vì nạn nhân phải mở một tệp Excel độc hại. Tuy nhiên, cuộc tấn công không yêu cầu xác thực hoặc đặc quyền nâng cao, điều này làm cho nó đặc biệt hiệu quả trong các kịch bản lừa đảo. Kẻ tấn công có thể thiết kế cẩn thận cấu trúc tệp để kiểm soát hành vi đọc bộ nhớ này, sử dụng dữ liệu bị lộ để thao túng luồng thực thi và chạy các lệnh độc hại trong tiến trình Excel.
Ảnh hưởng của việc Khai thác Thành công
Việc khai thác thành công lỗ hổng này cho phép kẻ tấn công có được mức truy cập tương đương với người dùng hiện tại. Điều này có thể dẫn đến việc đánh cắp dữ liệu nhạy cảm, cài đặt mã độc, thiết lập các cơ chế duy trì sự hiện diện (persistence), và cuối cùng là chiếm quyền điều khiển toàn bộ hệ thống. Các ảnh hưởng đến tính bảo mật, toàn vẹn và sẵn sàng (confidentiality, integrity, and availability) là rất lớn.
Trong môi trường doanh nghiệp, quyền truy cập này cũng có thể được sử dụng làm điểm khởi đầu cho việc di chuyển ngang (lateral movement) trong mạng lưới nội bộ.
Các Phiên bản Microsoft Office bị ảnh hưởng
Lỗ hổng ảnh hưởng đến một loạt các sản phẩm Microsoft, bao gồm:
- Microsoft 365 Apps
- Excel 2016
- Office 2019
- Office LTSC 2021
- Office LTSC 2024
- Office Online Server
Với việc các sản phẩm này được sử dụng rộng rãi trong cả môi trường doanh nghiệp và cá nhân, bề mặt tấn công tiềm ẩn là vô cùng đáng kể. Đây là một mối đe dọa mạng cần được quan tâm.
Phát hiện và Giám sát Tấn công
Dấu hiệu Tấn công
Việc phát hiện các nỗ lực khai thác lỗ hổng này dựa vào việc giám sát các hành vi bất thường liên quan đến Microsoft Excel. Các đội ngũ an ninh mạng có thể quan sát thấy:
- Tiến trình Excel khởi tạo các tiến trình con bất thường, chẳng hạn như command shells hoặc scripting engines.
- Các kết nối mạng đi đáng ngờ được khởi tạo bởi Excel ngay sau khi mở một tài liệu.
- Hệ thống có thể tạo báo cáo sự cố (crash reports) hoặc báo cáo vi phạm truy cập (access violations) liên quan đến Excel khi xử lý các tệp bị lỗi cấu trúc.
Giám sát Tấn công Mạng
Việc tăng cường khả năng giám sát và phát hiện tấn công (IDS) là rất quan trọng. Các quy tắc giám sát có thể tập trung vào việc phân tích hành vi của tiến trình Excel và các kết nối mạng mà nó thiết lập.
Biện pháp Khắc phục và Giảm thiểu Rủi ro
Cập nhật Bản vá Bảo mật
Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng này. Các tổ chức được khuyến cáo mạnh mẽ nên triển khai các bản vá này ngay lập tức. Việc cập nhật Microsoft 365 Apps thông qua kênh Click-to-Run và triển khai các bản vá bảo mật mới nhất cho các phiên bản Office độc lập là điều cần thiết.
Các Biện pháp Giảm thiểu Bổ sung
Các biện pháp giảm thiểu bổ sung bao gồm:
- Thực thi Protected View cho các tệp có nguồn gốc từ các nguồn bên ngoài.
- Chặn macros và nội dung bên ngoài trong tài liệu Office.
- Kích hoạt các kiểm soát bảo mật như quy tắc Giảm thiểu Bề mặt Tấn công (Attack Surface Reduction rules).
- Hạn chế việc mở các tệp Excel từ các nguồn không đáng tin cậy.
- Tăng cường bộ lọc email để ngăn chặn các tệp độc hại đến tay người dùng.
Việc áp dụng các biện pháp phòng ngừa này giúp giảm thiểu đáng kể nguy cơ bảo mật liên quan đến lỗ hổng này. Hãy truy cập CISA để cập nhật các cảnh báo mới nhất.
Tổng quan về Mối đe dọa
Lỗ hổng này được công bố lần đầu trên National Vulnerability Database vào ngày 11 tháng 11 năm 2025 và được cập nhật vào ngày 17 tháng 6 năm 2026. Mặc dù hiện tại không có báo cáo công khai nào về việc khai thác tích cực (active exploitation), kỹ thuật này rất phù hợp với các phương pháp tấn công lừa đảo và tấn công dựa trên tài liệu đã biết. Do đó, đây là một vấn đề có rủi ro cao mà các tổ chức không nên bỏ qua.
