Lỗ Hổng Leo Thang Đặc Quyền Nghiêm Trọng Trên Windows Server 2025 và Linux

18/06/2025
3 mins read
Nội dung
Lỗ hổng leo thang đặc quyền nghiêm trọng trên Windows Server 2025 và các hệ thống liên quan
1. Lỗ hổng trên Windows Server 2025 liên quan đến dMSA
Thông tin tổng quan về lỗ hổng
Phương thức khai thác
Biện pháp khắc phục
Cấu hình tham khảo cho dMSA
2. Các lỗ hổng leo thang đặc quyền khác
CVE-2025-4404: Lỗ hổng trên FreeIPA Project
CVE-2025-6018: Lỗ hổng trên openSUSE Leap 15 và SUSE Linux Enterprise 15
CVE-2025-6019: Lỗ hổng trên libblockdev và udisks
3. Indicators of Compromise (IOCs)
4. Tóm tắt và khuyến nghị cho SOC/Incident Response
Tóm tắt lỗ hổng
Hành động cần thực hiện
Khuyến nghị bảo mật

Lỗ hổng leo thang đặc quyền nghiêm trọng trên Windows Server 2025 và các hệ thống liên quan

Nhiều lỗi leo thang đặc quyền (privilege escalation) nghiêm trọng vừa được phát hiện trên Windows Server 2025, FreeIPA project, cũng như một số bản phân phối Linux như openSUSE Leap 15 và SUSE Linux Enterprise 15. Bài viết này cung cấp phân tích kỹ thuật chi tiết về các lỗ hổng, phương thức khai thác, biện pháp khắc phục và các khuyến nghị dành cho các chuyên viên bảo mật, quản trị hệ thống và đội ngũ SOC.

1. Lỗ hổng trên Windows Server 2025 liên quan đến dMSA

Thông tin tổng quan về lỗ hổng

Lỗ hổng này liên quan đến tính năng Delegated Managed Service Account (dMSA) được giới thiệu trên Windows Server 2025. Tính năng này cho phép chuyển đổi từ các tài khoản dịch vụ (service account) truyền thống sang dMSA nhằm giảm thiểu nguy cơ tấn công Kerberoasting. Tuy nhiên, lỗ hổng cho phép kẻ tấn công khai thác dMSA để truy cập vào Active Directory (AD) và chiếm quyền kiểm soát bất kỳ tài khoản người dùng nào, kể cả những tài khoản không thuộc nhóm domain admins.

Phương thức khai thác

Kỹ thuật tấn công được đặt tên là BadSuccessor. Phương thức này tận dụng tính năng dMSA để thực hiện leo thang đặc quyền, cho phép kẻ tấn công truy cập trái phép vào các tài nguyên trong AD.

Biện pháp khắc phục

Microsoft cho biết dMSA có thể được tạo dưới dạng tài khoản độc lập hoặc thay thế cho một tài khoản dịch vụ chuẩn hiện có. Khi một dMSA thay thế tài khoản cũ, quá trình xác thực bằng mật khẩu của tài khoản cũ sẽ bị chặn, và yêu cầu sẽ được chuyển hướng đến Local Security Authority (LSA) để xác thực thông qua dMSA. Điều này cho phép dMSA kế thừa toàn bộ quyền truy cập của tài khoản cũ trong AD.

Khuyến nghị cụ thể:

  • Tạm thời vô hiệu hóa hoặc hạn chế sử dụng dMSA cho đến khi bản vá được áp dụng.
  • Triển khai kiểm soát truy cập nghiêm ngặt đối với các tài khoản dịch vụ.
  • Thường xuyên kiểm tra và cập nhật cấu hình tài khoản dịch vụ.
  • Theo dõi các hoạt động bất thường liên quan đến quá trình chuyển đổi tài khoản dịch vụ.

Cấu hình tham khảo cho dMSA

Dưới đây là ví dụ về lệnh tạo và thay thế tài khoản dịch vụ bằng dMSA trên Windows Server:

# Tạo một dMSA mới:
New-ADServiceAccount -Name "dMSAName" -ServicePrincipalNames "serviceprincipalname"

# Thay thế tài khoản dịch vụ hiện có bằng dMSA:
Set-ADServiceAccount -Identity "ExistingServiceAccount" -ReplaceWithNewServiceAccount "dMSAName"

2. Các lỗ hổng leo thang đặc quyền khác

CVE-2025-4404: Lỗ hổng trên FreeIPA Project

Lỗ hổng này tồn tại trong dự án FreeIPA, liên quan đến việc không kiểm tra tính duy nhất của Service Principal Names (SPNs). Điều này dẫn đến khả năng leo thang đặc quyền từ host lên domain. Hành động khắc phục bao gồm đảm bảo validation đầy đủ đối với SPNs trong cấu hình FreeIPA.

CVE-2025-6018: Lỗ hổng trên openSUSE Leap 15 và SUSE Linux Enterprise 15

Lỗ hổng nằm trong cấu hình PAM của các hệ điều hành openSUSE Leap 15 và SUSE Linux Enterprise 15. Kẻ tấn công cục bộ không có đặc quyền có thể leo thang lên tài khoản “allow_active” và thực thi các hành động polkit thường dành riêng cho người dùng có mặt vật lý tại máy. Cần áp dụng bản vá ngay lập tức để khắc phục vấn đề này.

CVE-2025-6019: Lỗ hổng trên libblockdev và udisks

Lỗ hổng này ảnh hưởng đến thư viện libblockdev, có thể bị khai thác thông qua daemon udisks được cài đặt mặc định trên phần lớn các bản phân phối Linux. Một người dùng “allow_active” có thể leo thang quyền lên full root. Khi kết hợp với CVE-2025-6018, kẻ tấn công không có đặc quyền có thể đạt được toàn quyền root. Các bản phân phối Linux bị ảnh hưởng cần được vá ngay lập tức.

3. Indicators of Compromise (IOCs)

Các chỉ số liên quan đến mối đe dọa được xác định như sau:

  • BadSuccessor: Kỹ thuật tấn công nhắm vào tính năng dMSA trên Windows Server 2025.
  • Khai thác lỗ hổng trong tính năng dMSA để truy cập trái phép vào Active Directory.

4. Tóm tắt và khuyến nghị cho SOC/Incident Response

Tóm tắt lỗ hổng

  • Loại lỗ hổng: Leo thang đặc quyền (Privilege Escalation)
  • Hệ thống bị ảnh hưởng: Windows Server 2025, FreeIPA project, openSUSE Leap 15, SUSE Linux Enterprise 15

Hành động cần thực hiện

  • Vô hiệu hóa hoặc hạn chế sử dụng dMSA trên Windows Server 2025 cho đến khi có bản vá chính thức.
  • Đảm bảo kiểm tra tính duy nhất của SPNs trong FreeIPA để khắc phục CVE-2025-4404.
  • Áp dụng bản vá cho openSUSE Leap 15 và SUSE Linux Enterprise 15 để khắc phục CVE-2025-6018.
  • Áp dụng bản vá cho các bản phân phối Linux bị ảnh hưởng bởi CVE-2025-6019.

Khuyến nghị bảo mật

  • Triển khai kiểm soát truy cập nghiêm ngặt đối với các tài khoản dịch vụ.
  • Định kỳ xem xét và cập nhật cấu hình tài khoản dịch vụ trên hệ thống.
  • Theo dõi các hoạt động đáng ngờ liên quan đến chuyển đổi hoặc sử dụng tài khoản dịch vụ.

Bài viết này cung cấp cái nhìn chi tiết về các lỗ hổng leo thang đặc quyền nghiêm trọng và các biện pháp khắc phục cần thiết. Quản trị viên hệ thống và đội ngũ SOC cần ưu tiên xử lý các vấn đề này để giảm thiểu nguy cơ bị tấn công.