Tổng quan về lỗ hổng
Lỗ hổng này, được theo dõi với mã CVE-2025-24985, là một lỗi tràn số nguyên và tràn bộ nhớ đệm dựa trên heap trong Trình điều khiển Hệ thống Tệp Fast FAT của Windows. Lỗi này cho phép thực thi mã từ xa (RCE) khi kẻ tấn công lừa người dùng gắn một đĩa cứng ảo (VHD) được tạo ra một cách đặc biệt.
Chi tiết khai thác
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách phân phối các VHD độc hại qua các chiến dịch lừa đảo hoặc các trang web bị xâm nhập. Sau khi được gắn, VHD kích hoạt lỗi đọc ngoài giới hạn, cho phép truy cập trái phép vào bộ nhớ nhân và cho phép RCE.
Tác động và biện pháp giảm thiểu
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh mục Lỗ hổng Đã được Khai thác (KEV), yêu cầu các cơ quan liên bang áp dụng các bản vá trước ngày 1 tháng 4 năm 2025. Microsoft khuyến nghị người dùng áp dụng các bản cập nhật vào ngày Thứ Ba Bản vá tháng 3 năm 2025 để khắc phục lỗ hổng này và các vấn đề liên quan đến NTFS. Người dùng nên được hướng dẫn để tránh gắn các tệp VHD không đáng tin cậy, vì việc khai thác yêu cầu tương tác cục bộ.
Các lỗ hổng liên quan
Lỗ hổng này là một phần của một loạt các lỗ hổng NTFS đã được Microsoft vá trong bản cập nhật Thứ Ba Bản vá tháng 3 năm 2025, bao gồm sáu lỗ hổng zero-day đã bị các tác nhân đe dọa khai thác. Các lỗi liên quan khác, chẳng hạn như CVE-2025-24991 và CVE-2025-24993, cũng liên quan đến việc tràn bộ nhớ đệm dựa trên heap trong hệ thống NTFS, cho phép rò rỉ dữ liệu và RCE tương ứng.
Khuyến nghị
Microsoft và CISA khuyến nghị áp dụng các bản cập nhật ngay lập tức, hạn chế sử dụng VHD và tuân theo Chỉ thị Vận hành Bắt buộc (BOD) 22-01 của CISA cho các môi trường đám mây để đảm bảo cấu hình ngăn chặn việc thực thi tệp độc hại. Các tổ chức không thể vá ngay lập tức nên xem xét tạm thời vô hiệu hóa các dịch vụ phụ thuộc vào NTFS hoặc cách ly các hệ thống quan trọng.
