Một vấn đề bảo mật nghiêm trọng đã được phát hiện liên quan đến Windows Remote Access Connection Manager (RasMan), cho phép kẻ tấn công cục bộ thực thi mã tùy ý với đặc quyền System. Sự phát hiện này bao gồm một chuỗi khai thác phức tạp, dựa trên một **lỗ hổng zero-day** chưa được biết trước đó để hoạt động hiệu quả.
Phân Tích Lỗ Hổng CVE-2025-59230
CVE-2025-59230 là lỗ hổng chính được Microsoft khắc phục trong các bản cập nhật bảo mật tháng 10 năm 2025. Lỗ hổng này tập trung vào cách dịch vụ RasMan xử lý các điểm cuối RPC.
Khi dịch vụ RasMan khởi động, nó sẽ đăng ký một điểm cuối cụ thể. Điểm cuối này sau đó được các dịch vụ có đặc quyền cao hơn tin cậy và sử dụng để giao tiếp.
Cơ Chế Khai Thác Điểm Cuối RPC
Các nhà nghiên cứu bảo mật của 0patch đã phát hiện rằng nếu dịch vụ RasMan không chạy, kẻ tấn công có thể đăng ký điểm cuối RPC này trước khi dịch vụ RasMan khởi động.
Khi các dịch vụ đặc quyền khác cố gắng kết nối, chúng sẽ vô tình giao tiếp với tiến trình của kẻ tấn công. Điều này cho phép kẻ tấn công thực thi các lệnh độc hại với quyền hạn cao.
Thách Thức Trong Việc Khai Thác Race Condition
Khai thác tình trạng tranh chấp (race condition) này gặp nhiều khó khăn. Dịch vụ RasMan thường tự động khởi chạy cùng với hệ thống.
Việc này gần như không để lại khoảng thời gian nào để kẻ tấn công có thể đăng ký điểm cuối trước khi RasMan chiếm giữ nó.
Phát Hiện Lỗ Hổng Zero-Day Thứ Cấp
Để vượt qua giới hạn này, chuỗi khai thác đã sử dụng một **lỗ hổng zero-day** thứ hai, chưa được vá.
Lỗ hổng này cho phép một người dùng không có đặc quyền cố ý làm cho dịch vụ RasMan bị treo.
Nguyên nhân của sự cố là do lỗi logic trong mã liên quan đến danh sách liên kết vòng. Dịch vụ cố gắng duyệt danh sách nhưng không xử lý đúng cách các con trỏ NULL, dẫn đến vi phạm truy cập bộ nhớ.
Chuỗi Khai Thác Hoàn Chỉnh và Chiếm Quyền Kiểm Soát
Bằng cách làm cho dịch vụ RasMan bị treo, kẻ tấn công có thể buộc nó vào trạng thái dừng. Việc này sẽ giải phóng điểm cuối RPC.
Sau đó, kẻ tấn công có thể kích hoạt chuỗi khai thác **CVE-2025-59230** đã được mô tả để giành quyền truy cập System.
Sự kết hợp giữa **lỗ hổng zero-day** gây treo dịch vụ và lỗi leo thang đặc quyền RasMan tạo thành một vector tấn công cục bộ nguy hiểm.
Biện Pháp Vá Lỗi và Giảm Thiểu Rủi Ro
Microsoft đã phát hành các bản vá chính thức cho lỗ hổng leo thang đặc quyền (CVE-2025-59230) thông qua các bản cập nhật tháng 10 năm 2025.
Tuy nhiên, tại thời điểm phát hiện, lỗ hổng gây treo dịch vụ được sử dụng để tạo điều kiện cho cuộc tấn công vẫn chưa được vá trong các kênh chính thức của Microsoft.
Để khắc phục lỗ hổng gây treo dịch vụ này, 0patch đã phát hành các micropatch miễn phí.
Các micropatch này nhằm giải quyết vector lỗi treo trên các nền tảng Windows được hỗ trợ, bao gồm Windows 11 và Server 2025. Thông tin chi tiết có tại: 0patch blog.
Quản trị viên được khuyến nghị nên áp dụng ngay các bản cập nhật Windows tháng 10 năm 2025 để giảm thiểu rủi ro leo thang đặc quyền chính.
Để kiểm tra thông tin chi tiết về CVE, bạn có thể tham khảo tại NVD: NVD – CVE-2025-59230.
Việc quản lý bản vá và cập nhật hệ thống là rất quan trọng để bảo vệ trước các **lỗ hổng zero-day** và các mối đe dọa tiềm ẩn.
