Lỗ hổng nghiêm trọng trong Windows Remote Desktop Gateway: Tấn công DoS và RCE (CVE-2025-26677, CVE-2025-29831)
Windows Remote Desktop Gateway (RDG) – dịch vụ quan trọng hỗ trợ kết nối RDP từ các máy khách bên ngoài đến tài nguyên mạng nội bộ – vừa được phát hiện tồn tại hai lỗ hổng nghiêm trọng, đe dọa đến cả tính sẵn sàng và bảo mật của hệ thống. Bài viết này sẽ phân tích chi tiết các lỗ hổng CVE-2025-26677 và CVE-2025-29831, cùng với tác động tiềm tàng và các biện pháp khắc phục dành cho các chuyên gia IT và quản trị hệ thống.
Chi tiết kỹ thuật về các lỗ hổng
- CVE-2025-26677: Uncontrolled Resource Consumption (CWE-400)
Lỗ hổng này cho phép kẻ tấn công không xác thực gửi lưu lượng mạng độc hại để làm quá tải máy chủ RDG, dẫn đến trạng thái từ chối dịch vụ (Denial of Service – DoS). Với vector tấn công dựa trên mạng và tác động lớn đến tính sẵn sàng, lỗ hổng này được đánh giá mức độ nghiêm trọng CVSS 7.5. - CVE-2025-29831: Use-After-Free (CWE-416)
Đây là lỗ hổng liên quan đến lỗi memory corruption trong quá trình xử lý phiên RDP, cho phép thực thi mã từ xa (Remote Code Execution – RCE). Kẻ tấn công cần tương tác với người dùng, ví dụ như thuyết phục nạn nhân kết nối tới một máy chủ bị xâm nhập. Nếu khai thác thành công, kẻ tấn công có thể giành toàn quyền kiểm soát hệ thống. Lỗ hổng này cũng được chấm mức độ nghiêm trọng CVSS 7.5.
Tác động thực tiễn đối với doanh nghiệp
Dịch vụ RDG đóng vai trò trung gian trong việc kết nối RDP, đặc biệt quan trọng đối với các doanh nghiệp phụ thuộc vào remote access để hỗ trợ lực lượng lao động từ xa. Các hệ thống chưa được vá lỗi có nguy cơ:
- Gián đoạn hoạt động: Lỗ hổng DoS (CVE-2025-26677) có thể khiến máy chủ RDG không khả dụng, ảnh hưởng đến khả năng truy cập tài nguyên nội bộ của người dùng hợp pháp.
- Truy cập trái phép: Lỗ hổng RCE (CVE-2025-29831) tạo điều kiện cho kẻ tấn công thực thi mã tùy ý trên hệ thống bị xâm phạm, dẫn đến khả năng rò rỉ dữ liệu hoặc triển khai thêm các hoạt động độc hại.
Các vector tấn công
- Tấn công DoS (CVE-2025-26677): Kẻ tấn công có thể gửi lưu lượng mạng độc hại để làm quá tải máy chủ RDG, gây ra tình trạng gián đoạn dịch vụ.
- Tấn công RCE (CVE-2025-29831): Lỗ hổng này khai thác lỗi memory corruption trong quá trình xử lý phiên RDP. Mặc dù cần có tương tác từ người dùng, nhưng khi thành công, kẻ tấn công có thể kiểm soát hoàn toàn hệ thống mục tiêu.
Biện pháp giảm thiểu rủi ro
Để bảo vệ hệ thống khỏi các lỗ hổng trên, các tổ chức cần thực hiện ngay các hành động sau:
1. Cập nhật bản vá (Patch)
Microsoft đã công bố các bản vá cho hai lỗ hổng này trong bản cập nhật bảo mật tháng 5/2025. Quản trị viên hệ thống cần ưu tiên áp dụng các bản vá này để giảm thiểu rủi ro. Thông tin chi tiết và các bản cập nhật có thể được tải xuống từ trang web chính thức của Microsoft.
2. Thực hiện cấu hình bảo mật tốt nhất
- Triển khai firewall và intrusion detection system (IDS) để phát hiện và ngăn chặn các lưu lượng mạng bất thường, giảm nguy cơ tấn công DoS.
- Đảm bảo tất cả kết nối RDP được mã hóa và sử dụng các phương thức xác thực an toàn để giảm nguy cơ khai thác RCE.
Kết luận
Các lỗ hổng nghiêm trọng trong Windows Remote Desktop Gateway (CVE-2025-26677 và CVE-2025-29831) là lời nhắc nhở về tầm quan trọng của việc cập nhật bảo mật định kỳ và cấu hình hệ thống an toàn. Các chuyên gia bảo mật và quản trị hệ thống cần hành động ngay lập tức để vá lỗi và áp dụng các biện pháp bảo vệ nhằm ngăn chặn các cuộc tấn công tiềm tàng. Việc duy trì một môi trường remote access an toàn không chỉ bảo vệ tài nguyên nội bộ mà còn giúp đảm bảo tính liên tục trong hoạt động kinh doanh.
Tài liệu tham khảo bổ sung
- CVE Database: Cung cấp thông tin chi tiết về các lỗ hổng bảo mật đã được công khai.
- Microsoft Security Updates: Trang chính thức của Microsoft để tải về các bản cập nhật bảo mật mới nhất.
