Microsoft đã công bố các bản cập nhật bảo mật quan trọng nhằm giải quyết một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, có khả năng cho phép kẻ tấn công thực thi mã độc trên các mạng mà không cần tương tác với người dùng.
Lỗ hổng này, được theo dõi là CVE-2025-47981, ảnh hưởng đến các máy khách Windows chạy Windows 10 phiên bản 1607 trở lên, có nguy cơ phơi nhiễm hàng triệu hệ thống trước các cuộc tấn công mạng.
Tổng quan về Lỗ hổng CVE-2025-47981
Lỗ hổng được xác định là SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability, đại diện cho một mối đe dọa đáng kể đối với các môi trường Windows của doanh nghiệp và người dùng cuối. Đây là một lỗ hổng tràn bộ đệm dựa trên heap (heap-based buffer overflow), cho phép kẻ tấn công không được ủy quyền thực thi mã tùy ý từ xa qua kết nối mạng.
Các nhà nghiên cứu bảo mật đã phân loại lỗ hổng này là có khả năng “wormable” (tự lây lan), nghĩa là mã độc có thể tự động lan truyền từ một hệ thống bị xâm nhập sang các hệ thống khác mà không cần sự can thiệp của con người. Lỗ hổng này đã nhận được điểm CVSS 9.8/10, cho thấy mức độ nghiêm trọng tối đa trên các tiêu chí bảo mật về tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability).
Cơ chế Khai thác Lỗ hổng
Lỗ hổng này bắt nguồn từ việc xử lý không đúng cách các giao thức SPNEGO Extended Negotiation trong các cơ chế xác thực của Windows. Kẻ tấn công có thể khai thác lỗ hổng này thông qua các cuộc tấn công dựa trên mạng, không yêu cầu tương tác của người dùng hoặc đặc quyền nâng cao. Điều này làm cho nó đặc biệt nguy hiểm đối với các tổ chức có hệ thống kết nối mạng rộng lớn.
Microsoft đã chỉ định lỗ hổng này vào danh mục Common Weakness Enumeration (CWE) CWE-122, vốn đặc trưng cho các lỗ hổng tràn bộ đệm dựa trên heap.
Mức độ Nghiêm trọng và Khả năng Khai thác
Đánh giá khả năng khai thác của Microsoft chỉ ra rằng việc khai thác lỗ hổng này là “More Likely” (khả năng cao hơn), mặc dù tại thời điểm hiện tại chưa có khai thác công khai (public exploits) hoặc các cuộc tấn công đang hoạt động nào được ghi nhận.
Lỗ hổng ảnh hưởng đến các hệ thống mà Group Policy Object (GPO) có tên “Network security: Allow PKU2U authentication requests to this computer to use online identities” được kích hoạt theo mặc định. Điều kiện này làm tăng phạm vi ảnh hưởng của lỗ hổng, khi nó có thể tác động đến nhiều hệ thống mà không yêu cầu cấu hình đặc biệt.
Biện pháp Khắc phục và Khuyến nghị
Microsoft đã phát hành các bản vá lỗi chính thức vào ngày 8 tháng 7 năm 2025, như một phần của chu kỳ cập nhật bảo mật định kỳ. Các quản trị viên hệ thống được khuyến nghị ưu tiên triển khai ngay lập tức các bản cập nhật bảo mật này trên tất cả các hệ thống Windows bị ảnh hưởng.
Bản chất nghiêm trọng của lỗ hổng này, kết hợp với đặc tính tự lây lan (wormable), khiến việc vá lỗi nhanh chóng trở nên thiết yếu để duy trì an ninh mạng. Các tổ chức nên triển khai các bản cập nhật này ngay lập tức và đồng thời theo dõi mọi hoạt động mạng đáng ngờ có thể cho thấy nỗ lực khai thác.
