BeyondTrust đã công bố một lỗ hổng CVE leo thang đặc quyền nghiêm trọng trong giải pháp Privilege Management for Windows của họ. Lỗ hổng này có thể cho phép kẻ tấn công cục bộ đã xác thực đạt được quyền truy cập cấp quản trị viên vào các hệ thống bị xâm nhập.
Tổng quan về Lỗ hổng CVE và Khai thác Quyền
Lỗ hổng bảo mật này, được theo dõi dưới mã định danh CVE-2025-2297, ảnh hưởng đến các phiên bản trước 25.4.270.0 và có điểm CVSSv4 là 7.2, được phân loại là mức độ nghiêm trọng cao.
Nguyên nhân của lỗ hổng bắt nguồn từ việc quản lý đặc quyền không đúng cách. Điều này cho phép người dùng cục bộ đã xác thực thao túng các tệp hồ sơ người dùng của họ trong những điều kiện cụ thể.
Bằng cách khai thác điểm yếu này, kẻ tấn công có thể chèn các mã phản hồi thử thách (challenge response codes) không hợp lệ vào sổ đăng ký người dùng cục bộ, qua đó vượt qua các kiểm soát bảo mật được thiết kế để ngăn chặn leo thang đặc quyền trái phép.
Lỗ hổng này gây ra rủi ro đáng kể cho các môi trường doanh nghiệp nơi giải pháp Privilege Management của BeyondTrust được triển khai để kiểm soát và giám sát quyền truy cập quản trị.
Nó có thể tạo điều kiện cho các mối đe dọa nội bộ hoặc kẻ tấn công đã có quyền truy cập ban đầu vào hệ thống để chiếm quyền điều khiển cấp cao hơn mà không cần ủy quyền hợp lệ.
Chi tiết Kỹ thuật và Mã định danh CVE-2025-2297
Theo cảnh báo bảo mật của BeyondTrust BT25-05, được công bố vào ngày 28 tháng 7 năm 2025, lỗ hổng khai thác cơ chế phản hồi thử thách được sử dụng bởi hệ thống Privilege Management.
Kẻ tấn công có thể thao túng các mục đăng ký dưới đường dẫn:
HKEY_USERS\$sid\Software\Avecto\Privilege Guard Client\ChallengeResponseCache\$sha256sumMục đích là để chèn các mục phản hồi “forever” không được phép, cấp quyền quản trị viên liên tục.
Lỗ hổng này được phân loại theo CWE-268 (Privilege Chaining). Điều này cho thấy nó liên quan đến việc quản lý đặc quyền không đúng cách, có thể được xâu chuỗi để đạt được các mức độ truy cập trái phép.
Vectơ tấn công yêu cầu quyền truy cập cục bộ và có độ phức tạp cao, nhưng không yêu cầu tương tác của người dùng sau khi thao tác ban đầu được thực hiện. Đây là một lỗ hổng CVE cần được ưu tiên xử lý.
Biện pháp Khắc phục và Khuyến nghị
BeyondTrust đã giải quyết lỗ hổng CVE này trong phiên bản 25.4.270.0 và đã nâng cấp tất cả các dịch vụ đám mây của mình lên phiên bản đã được vá lỗi.
Khách hàng doanh nghiệp đang sử dụng triển khai tại chỗ cần cập nhật ngay lập tức các cài đặt của họ lên phiên bản mới nhất để giảm thiểu rủi ro bảo mật này. Việc triển khai bản vá bảo mật này là tối quan trọng.
Khuyến nghị và Cấu hình Bảo mật
Đối với các tổ chức không thể nâng cấp ngay lập tức, BeyondTrust khuyến nghị tránh sử dụng các quyền tự động nâng cao “forever” trong cơ chế phản hồi thử thách.
Ngoài ra, cần triển khai giám sát các sửa đổi sổ đăng ký đáng ngờ. Các quản trị viên nên xem xét các chính sách Endpoint Privilege Management (EPM) của họ.
Mục tiêu là đảm bảo các nhu cầu kinh doanh hợp pháp được giải quyết thông qua cấu hình chính sách phù hợp, thay vì thông qua các mục phản hồi vĩnh viễn.
Dấu hiệu Thỏa hiệp (IOCs)
Các dấu hiệu thỏa hiệp (IOCs) liên quan đến việc khai thác lỗ hổng CVE này có thể bao gồm:
- Sửa đổi bất thường trong khóa đăng ký:
HKEY_USERS\$sid\Software\Avecto\Privilege Guard Client\ChallengeResponseCache\$sha256sum. - Sự xuất hiện của các mục nhập phản hồi “forever” không được ủy quyền trong ChallengeResponseCache.
- Thay đổi đột ngột hoặc không giải thích được trong quyền hạn của người dùng cục bộ, dẫn đến chiếm quyền điều khiển cấp quản trị viên.
Cập nhật và Bảo vệ Hệ thống
Lỗ hổng này được tiết lộ một cách có trách nhiệm bởi các nhà nghiên cứu bảo mật Lukasz Piotrowski và Marius Kotlarz. Điều này nhấn mạnh tầm quan trọng của việc tiết lộ lỗ hổng một cách phối hợp trong việc duy trì an ninh doanh nghiệp.
Việc xử lý kịp thời các lỗ hổng CVE như thế này là rất cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công leo thang đặc quyền. Luôn duy trì các biện pháp bảo mật mạnh mẽ và cập nhật các bản vá bảo mật là chìa khóa để bảo vệ môi trường IT của bạn.
