Lỗ hổng nghiêm trọng trong Microsoft Telnet Server: CVE-2025-26663 và biện pháp khắc phục
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Microsoft Telnet Server, cho phép kẻ tấn công bỏ qua cơ chế xác thực và giành quyền truy cập cấp quản trị viên mà không cần thông tin xác thực hợp lệ. Với mã định danh CVE-2025-26663, lỗ hổng này được xếp loại “zero-click”, nghĩa là không yêu cầu bất kỳ tương tác nào từ người dùng để khai thác. Bài viết này sẽ phân tích chi tiết về lỗ hổng, tác động tiềm tàng, và các biện pháp giảm thiểu rủi ro dành cho các chuyên gia IT và quản trị hệ thống.
Thông tin chi tiết về lỗ hổng
Tổng quan về lỗ hổng:
- Lỗ hổng CVE-2025-26663 là một lỗi xác thực từ xa dạng zero-click, ảnh hưởng đến Microsoft Telnet Server.
- Kẻ tấn công có thể khai thác lỗ hổng này để bỏ qua cơ chế xác thực NTLM, từ đó giành quyền truy cập cấp quản trị viên mà không cần thông tin xác thực hợp lệ.
Chi tiết kỹ thuật:
- Lỗ hổng bắt nguồn từ cách Microsoft Telnet Authentication Protocol (MS-TNAP) xử lý quá trình xác thực NTLM.
- Cụ thể, Telnet Server khởi tạo bảo mật NTLM không đúng với cờ SECPKG_CRED_BOTH, đồng thời sử dụng hàm AcceptSecurityContext() với các tham số ASC_REQ_DELEGATE và ASC_REQ_MUTUAL_AUTH, dẫn đến việc bỏ qua các kiểm tra bảo mật quan trọng.
Hệ điều hành bị ảnh hưởng:
- Windows 2000
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
Tác động thực tế và rủi ro bảo mật
Khả năng khai thác:
Lỗ hổng zero-click này cho phép kẻ tấn công giành quyền kiểm soát hệ thống từ xa mà không cần bất kỳ hành động nào từ phía người dùng. Điều này đặc biệt nguy hiểm đối với các hệ thống sử dụng giao thức Telnet, vốn thường được triển khai trên các hệ điều hành cũ của Microsoft.
Tác động đến hệ thống legacy:
Các hệ thống legacy (hệ điều hành cũ) đặc biệt dễ bị tấn công do thường sử dụng các giao thức và cấu hình không còn được hỗ trợ, tạo điều kiện cho kẻ tấn công khai thác lỗ hổng này. Nếu không được khắc phục, lỗ hổng có thể dẫn đến các sự cố nghiêm trọng như rò rỉ dữ liệu, chiếm quyền điều khiển hệ thống, hoặc thực hiện các hoạt động độc hại khác.
Biện pháp giảm thiểu rủi ro
Trong bối cảnh chưa có bản vá chính thức từ Microsoft, các quản trị viên hệ thống cần thực hiện ngay các bước sau để bảo vệ hệ thống khỏi nguy cơ khai thác:
1. Vô hiệu hóa dịch vụ Telnet:
Để ngăn chặn kẻ tấn công truy cập từ xa thông qua dịch vụ Telnet, hãy vô hiệu hóa dịch vụ này bằng các lệnh sau trên Command Prompt với quyền quản trị viên:
net stop telnet
sc config telnet start= disabled
Lưu ý: Nếu cần kích hoạt lại dịch vụ sau khi có bản vá, bạn có thể sử dụng lệnh net start telnet.
2. Tăng cường các biện pháp bảo mật bổ sung:
- Cấu hình tường lửa để chặn các kết nối Telnet từ bên ngoài (incoming connections).
- Triển khai hệ thống phát hiện xâm nhập (IDS) để theo dõi các hoạt động bất thường liên quan đến dịch vụ Telnet.
- Thực hiện kiểm tra bảo mật định kỳ để phát hiện và khắc phục các cấu hình sai lệch tương tự trên hệ thống.
3. Theo dõi các mã khai thác PoC:
Hãy theo dõi chặt chẽ các thông tin liên quan đến mã khai thác thử nghiệm (Proof-of-Concept – PoC) được công bố công khai. Việc nhận biết sớm các PoC sẽ giúp đội ngũ IT chủ động phát hiện và ngăn chặn các nỗ lực khai thác từ kẻ tấn công.
Kết luận
Lỗ hổng CVE-2025-26663 trong Microsoft Telnet Server là một mối đe dọa nghiêm trọng đối với các hệ thống Windows cũ, đặc biệt là trong các môi trường sử dụng giao thức Telnet. Với khả năng khai thác zero-click và hậu quả tiềm tàng như chiếm quyền điều khiển hệ thống, các quản trị viên cần hành động ngay lập tức bằng cách vô hiệu hóa dịch vụ Telnet và áp dụng các biện pháp bảo mật bổ sung. Việc theo dõi cập nhật từ Microsoft và các nguồn tin bảo mật đáng tin cậy cũng là điều cần thiết để đảm bảo an toàn cho hạ tầng công nghệ thông tin.
