Một lỗ hổng CVE tiết lộ thông tin nghiêm trọng đã được phát hiện trong Windows Defender Firewall Service, có khả năng cho phép kẻ tấn công được ủy quyền truy cập vào bộ nhớ heap nhạy cảm trên các hệ thống bị ảnh hưởng. Lỗ hổng này, được theo dõi là CVE-2025-62468, đã được Microsoft công bố vào ngày 9 tháng 12 năm 2025, với mức độ nghiêm trọng được xếp hạng là “Important”.
Cảnh báo CVE: Lỗ hổng Bảo mật Nghiêm trọng trong Windows Defender Firewall
Cốt lõi của lỗ hổng CVE này là một điều kiện đọc ngoài giới hạn (out-of-bounds read) trong thành phần Windows Defender Firewall Service. Tình trạng này, còn được phân loại là CWE-125, cho phép kẻ tấn công đọc các vùng bộ nhớ nằm ngoài ranh giới được cấp phép.
Theo khuyến nghị bảo mật của Microsoft, một kẻ tấn công được ủy quyền với đặc quyền cấp cao có thể khai thác lỗ hổng CVE này. Việc khai thác cho phép đọc các phần của bộ nhớ heap mà không cần bất kỳ tương tác nào từ người dùng.
Đánh giá Tác động và Đặc điểm Kỹ thuật
Lỗ hổng chỉ ảnh hưởng đến tính bảo mật của thông tin được lưu trữ (confidentiality), dẫn đến rò rỉ dữ liệu nhạy cảm. Nó không có tác động đến tính toàn vẹn (integrity) hoặc khả dụng (availability) của hệ thống bị ảnh hưởng.
CVE-2025-62468 có điểm cơ sở CVSS v3.1 là 4.4. Các đặc điểm kỹ thuật của cuộc tấn công bao gồm: vector tấn công cục bộ (local attack vector), độ phức tạp tấn công thấp (low attack complexity), yêu cầu đặc quyền cao (high privileges required), và không cần tương tác của người dùng (no user interaction needed).
Microsoft đã đánh giá khả năng khai thác lỗ hổng CVE này là không chắc chắn (unlikely). Tại thời điểm công bố, không có mã khai thác công khai (public exploit code) hoặc hoạt động khai thác nào được báo cáo.
Sản phẩm Bị Ảnh hưởng và Cập nhật Bản vá Bảo mật
Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng CVE-2025-62468 trên nhiều nền tảng Windows.
Các Nền tảng Windows Chịu Rủi ro
- Windows Server 2025
- Windows Server 2022
- Windows 11 Version 24H2
- Windows 11 Version 25H2
- Windows 11 Version 23H2 (trên cả hệ thống x64 và ARM64-based)
Hướng dẫn Cập nhật Bản vá
Các tổ chức có thể nhận các bản vá bảo mật cần thiết thông qua Microsoft Update hoặc Microsoft Update Catalog. Windows Server 2025 và các phiên bản Windows 11 gần đây nhận được hai loại bản cập nhật: các bản cập nhật bảo mật tiêu chuẩn và các bản cập nhật hotpatch bảo mật.
Việc cung cấp hai loại bản cập nhật này mang lại sự linh hoạt trong chiến lược triển khai cho các quản trị viên. Để giảm thiểu rủi ro phơi nhiễm từ lỗ hổng CVE này, quản trị viên nên áp dụng kịp thời các bản cập nhật bảo mật.
Chi tiết về các bản cập nhật và hướng dẫn vá lỗi có thể tham khảo tại: Hướng dẫn Cập nhật Bảo mật Microsoft.
Khuyến nghị và Biện pháp Giảm thiểu Rủi ro đối với Lỗ hổng CVE
Lỗ hổng CVE-2025-62468 yêu cầu leo thang đặc quyền cấp cao (high-level privilege escalation), điều này giới hạn phạm vi đe dọa trực tiếp. Tuy nhiên, nó nhấn mạnh tầm quan trọng của việc hạn chế quyền truy cập quản trị trên các hệ thống.
Các tổ chức cần thiết lập và duy trì các giao thức giám sát chặt chẽ hoạt động của người dùng có đặc quyền. Việc khai thác thành công lỗ hổng CVE này đòi hỏi kẻ tấn công phải là thành viên của các nhóm người dùng cụ thể với quyền hạn nâng cao.
Điều này biến nó thành một mối đe dọa có mục tiêu, chủ yếu ảnh hưởng đến các tổ chức có kiểm soát truy cập nghiêm ngặt và giao thức giám sát người dùng đặc quyền. Các nhà nghiên cứu bảo mật từ Kunlun Lab được ghi nhận vì đã tiết lộ lỗ hổng CVE này một cách có trách nhiệm cho Microsoft thông qua các kênh công bố phối hợp.
