Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong phần mềm điều khiển bảo vệ (protection driver) của Lenovo, ảnh hưởng đến hàng triệu người dùng trên các hệ thống máy tính để bàn và máy tính xách tay. Lỗ hổng này, được xác định là CVE-2025-4657, cho phép kẻ tấn công cục bộ có đặc quyền nâng cao thực thi mã tùy ý thông qua một lỗ hổng tràn bộ đệm (buffer overflow), gây ra rủi ro bảo mật đáng kể cho cả môi trường doanh nghiệp và người dùng cá nhân.
Tổng quan về CVE-2025-4657
Thông báo bảo mật LEN-195370, được Lenovo công bố vào ngày 8 tháng 7 năm 2025, tiết lộ rằng các phiên bản của Lenovo Protection Driver trước 5.1.110.4231 chứa lỗ hổng tràn bộ đệm nguy hiểm. Lỗ hổng này đặc biệt ảnh hưởng đến ba ứng dụng chính của Lenovo: Lenovo PC Manager, Lenovo Browser và Lenovo App Store. Những ứng dụng này đại diện cho các thành phần phần mềm cốt lõi được hàng triệu người dùng trên toàn thế giới sử dụng.
Lỗ hổng tràn bộ đệm xảy ra khi một chương trình cố gắng ghi dữ liệu vượt quá giới hạn của một vùng bộ nhớ được cấp phát, làm ghi đè lên các vùng bộ nhớ lân cận. Trong trường hợp của Lenovo Protection Driver, việc này có thể bị kẻ tấn công khai thác để thay đổi luồng thực thi của chương trình và chèn mã độc hại của riêng chúng. Do driver thường hoạt động ở mức đặc quyền cao (kernel mode), một lỗ hổng như vậy có thể dẫn đến việc kiểm soát hoàn toàn hệ thống.
Tham khảo chi tiết lỗ hổng trên NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-4657
Tham khảo thông báo bảo mật của Lenovo: https://iknow.lenovo.com.cn/detail/430155
Tác động và Kịch bản Khai thác
Lỗ hổng này cho phép các cuộc tấn công leo thang đặc quyền (privilege escalation), nơi kẻ tấn công có thể giành quyền truy cập quản trị trái phép vào các hệ thống bị ảnh hưởng. Điều này có nghĩa là một kẻ tấn công đã có quyền truy cập cục bộ vào hệ thống (ví dụ: thông qua tài khoản người dùng tiêu chuẩn hoặc sau khi khai thác một lỗ hổng khác) có thể lợi dụng lỗ hổng tràn bộ đệm trong driver để nâng cao đặc quyền của mình lên mức hệ thống hoặc quản trị viên.
Khi được khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền nâng cao. Điều này tiềm ẩn nhiều nguy cơ nghiêm trọng, bao gồm:
- Cài đặt Malware: Kẻ tấn công có thể cài đặt các phần mềm độc hại như ransomware, spyware, hoặc rootkit mà không bị phát hiện bởi các giải pháp bảo mật thông thường, do hoạt động ở cấp độ hệ điều hành.
- Truy cập Dữ liệu Nhạy cảm: Với quyền quản trị đầy đủ, kẻ tấn công có thể truy cập, sửa đổi hoặc đánh cắp dữ liệu nhạy cảm được lưu trữ trên hệ thống, bao gồm thông tin cá nhân, tài liệu công ty hoặc thông tin đăng nhập.
- Kiểm soát Hoàn toàn Hệ thống: Khả năng thực thi mã tùy ý với đặc quyền cao nhất cho phép kẻ tấn công có thể chiếm quyền điều khiển hoàn toàn hệ thống, thay đổi cấu hình, tạo tài khoản người dùng mới, hoặc thiết lập các cơ chế truy cập bền vững.
Lỗ hổng này ảnh hưởng đến một loạt các thiết bị Lenovo, bao gồm máy tính xách tay ThinkPad, máy tính để bàn ThinkCentre và các hệ thống máy tính để bàn tiêu dùng khác. Các ứng dụng bị ảnh hưởng trải rộng trên các thành phần phần mềm quan trọng mà nhiều người dùng tương tác hàng ngày.
Kiểm tra Tình trạng Hệ thống
Người dùng có thể xác minh tình trạng dễ bị tổn thương của hệ thống bằng cách kiểm tra phiên bản tệp của lrtp.sys trong thư mục drivers của Windows System32. Quá trình kiểm tra được thực hiện như sau:
- Mở File Explorer và điều hướng đến thư mục
C:\Windows\System32\drivers. - Tìm tệp
lrtp.sys. - Nhấp chuột phải vào tệp
lrtp.sys, chọn Properties (Thuộc tính). - Trong cửa sổ Properties, chọn tab Details (Chi tiết).
- Kiểm tra thông tin File version (Phiên bản tệp).
Nếu phiên bản của lrtp.sys là 5.1.110.4231 hoặc cũ hơn, hệ thống của bạn đang bị ảnh hưởng bởi lỗ hổng này.
Biện pháp Khắc phục và Khuyến nghị
Lenovo đã phát hành các bản vá bảo mật để khắc phục lỗ hổng này trên tất cả các ứng dụng bị ảnh hưởng. Người dùng nên cập nhật ngay lập tức các ứng dụng Lenovo của mình lên các phiên bản được vá hoặc cao hơn:
- Lenovo PC Manager: Cập nhật lên phiên bản 5.1.110.5082 hoặc cao hơn.
- Lenovo Browser: Cập nhật lên phiên bản 9.0.6.5061 hoặc cao hơn.
- Lenovo App Store: Cập nhật lên phiên bản 9.0.2230.0617 hoặc cao hơn.
Công ty nhấn mạnh rằng Lenovo Protection Driver sẽ tự động cập nhật khi các ứng dụng này được khởi chạy, giúp đơn giản hóa quá trình vá lỗi. Tuy nhiên, người dùng nên chủ động xác minh rằng các bản cập nhật đã được áp dụng thành công để đảm bảo hệ thống của họ được bảo vệ.
Lỗ hổng này một lần nữa nhấn mạnh tầm quan trọng của việc duy trì các bản vá bảo mật cập nhật, đặc biệt đối với các driver cấp hệ thống hoạt động với đặc quyền cao. Các tổ chức sử dụng hệ thống Lenovo nên ưu tiên vá lỗi ngay lập tức và xem xét triển khai giám sát bổ sung đối với các hành vi hệ thống bất thường trong giai đoạn chuyển tiếp. Việc tuân thủ quy trình cập nhật và kiểm tra bảo mật định kỳ là cần thiết để bảo vệ dữ liệu và đảm bảo tính toàn vẹn của hệ thống trước các mối đe dọa tiềm tàng.
