Microsoft vừa phát hành bản cập nhật Patch Tuesday tháng 9 năm 2025, giải quyết tổng cộng 81 lỗ hổng CVE trên toàn bộ danh mục sản phẩm của mình. Bản cập nhật mở rộng này bao gồm các bản vá cho hai lỗ hổng zero-day đang bị khai thác tích cực. Trong số các lỗi được vá, 8 lỗ hổng được đánh giá là “Nghiêm trọng” (Critical), trong khi 73 lỗ hổng còn lại được phân loại là “Quan trọng” (Important).
Các bản cập nhật bao gồm nhiều sản phẩm của Microsoft, từ Windows, Microsoft Office, Azure, SQL Server đến Windows Defender. Việc phát hành bản vá bảo mật tháng này đặc biệt quan trọng do bao gồm các bản sửa lỗi cho hai lỗ hổng zero-day.
Các Lỗ hổng Zero-Day Đang Bị Khai Thác Tích Cực
CVE-2025-55234: Lỗ hổng Tăng đặc quyền SMB
Đây là một lỗ hổng Tăng đặc quyền (EoP) trong giao thức Windows Server Message Block (SMB). Kẻ tấn công khai thác thành công lỗ hổng này có thể thực hiện các cuộc tấn công chuyển tiếp (relay attacks).
Điều này tiềm ẩn nguy cơ giành quyền đặc quyền cao hơn trên các hệ thống bị ảnh hưởng. Do SMB được sử dụng rộng rãi để chia sẻ tệp, lỗ hổng CVE này đặt ra rủi ro đáng kể và cần được vá ngay lập tức.
CVE-2024-21907: Lỗ hổng Từ chối dịch vụ Newtonsoft.Json
Đây là một lỗ hổng từ chối dịch vụ trong Newtonsoft.Json, một framework JSON phổ biến cho .NET. Lỗ hổng này phát sinh từ việc xử lý không đúng cách các điều kiện ngoại lệ.
Dữ liệu được tạo thủ công đặc biệt khi truyền vào phương thức JsonConvert.DeserializeObject có thể gây ra ngoại lệ StackOverflow, dẫn đến việc ứng dụng bị lỗi. Kẻ tấn công không xác thực có thể khai thác lỗ hổng CVE này từ xa.
Microsoft đã xác nhận nó ảnh hưởng đến các cài đặt SQL Server sử dụng thư viện bị ảnh hưởng.
Các Lỗ hổng Nghiêm trọng Khác
Ngoài các lỗ hổng zero-day, Microsoft đã giải quyết 8 lỗ hổng CVE nghiêm trọng khác. Nhiều trong số này có thể dẫn đến Thực thi Mã từ Xa (RCE) hoặc Tăng Đặc quyền (EoP).
Thực thi Mã từ Xa (RCE)
Một số lỗ hổng RCE nghiêm trọng đã được phát hiện trong Windows Graphics Kernel và Component, bao gồm CVE-2025-55226, CVE-2025-55228, và CVE-2025-55236. Những lỗ hổng này gây ra bởi các điều kiện chạy đua (race conditions).
Chúng cho phép kẻ tấn công được ủy quyền thực thi mã tùy ý trên máy mục tiêu.
Các lỗ hổng CVE nghiêm trọng khác bao gồm tràn bộ đệm dựa trên heap trong Microsoft Office (CVE-2025-54910) và lỗi điều kiện chạy đua trong Windows Hyper-V (CVE-2025-55224). Cả hai đều có thể cho phép thực thi mã từ xa.
Tăng Đặc quyền (EoP) và Các Lỗ hổng Khác
Một lỗ hổng EoP nghiêm trọng trong Windows NTLM (CVE-2025-54918) cũng đã được vá. Lỗ hổng này có thể cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền của họ qua mạng thông qua xác thực không đúng cách.
Số lượng lớn các lỗ hổng CVE được đánh giá là “Quan trọng” trải rộng trên các sản phẩm từ Microsoft Excel, SharePoint đến Windows Kernel và PowerShell. Điều này nhấn mạnh phạm vi rộng của bản cập nhật tháng này.
Khuyến nghị và Cập nhật Thêm
Trong số 81 lỗ hổng CVE được khắc phục trong bản cập nhật Patch Tuesday tháng 9 năm 2025, ngoại trừ hai lỗ hổng zero-day đã được đề cập, không có lỗ hổng nào khác được báo cáo là đã công khai hoặc bị khai thác tích cực tại thời điểm phát hành. Bản cập nhật này bao gồm các bản vá cho 8 lỗ hổng Nghiêm trọng và 73 lỗ hổng Quan trọng.
Các quản trị viên hệ thống được khuyến nghị mạnh mẽ xem xét bản phát hành tháng 9 năm 2025 và áp dụng tất cả các cập nhật bản vá bảo mật liên quan kịp thời để giảm thiểu những rủi ro này.
Để biết thêm chi tiết về các tư vấn bảo mật của Microsoft, bạn có thể tham khảo tại Trung tâm Phản hồi Bảo mật Microsoft (MSRC): MSRC Security Advisories.
