Một lỗ hổng CVE bảo mật nghiêm trọng đã được phát hiện trong các hệ thống Microsoft Windows. Lỗ hổng này cho phép kẻ tấn công leo thang đặc quyền. Từ đó, chúng có khả năng giành quyền kiểm soát hoàn toàn các máy bị ảnh hưởng.
Lỗ hổng này, định danh CVE-2025-53149, tác động đến Kernel Streaming WOW Thunk Service Driver (`ksthunk.sys`). Microsoft đã phát hành bản vá lỗi cho nó vào tháng 8 năm 2025.
Tổng quan về Lỗ hổng CVE-2025-53149
Lỗ hổng bảo mật này là một **heap-based buffer overflow**. Nó nằm trong driver ksthunk.sys, cụ thể là trong hàm CKSAutomationThunk::HandleArrayProperty().
Điểm yếu này cho phép người dùng được ủy quyền với đặc quyền thấp leo thang truy cập lên các quyền cấp hệ thống. Điều này có thể làm tổn hại toàn bộ cài đặt Windows.
Các nhà nghiên cứu bảo mật từ Crowdfense đã phát hiện lỗ hổng CVE này. Họ tìm thấy nó trong quá trình phân tích thường xuyên các thành phần nội bộ của Windows.
Thành phần bị ảnh hưởng, ksthunk.sys, đóng vai trò cầu nối quan trọng. Nó kết nối các ứng dụng người dùng 32-bit với các driver kernel 64-bit trong hệ thống Windows. Điều này khiến nó đặc biệt giá trị cho kẻ tấn công tìm kiếm việc leo thang đặc quyền.
Phân tích Kỹ thuật và Cơ chế Khai thác
Lỗ hổng CVE-2025-53149 tồn tại trong Kernel Streaming WOW Thunk Service Driver. Driver này chịu trách nhiệm xử lý các hoạt động truyền phát đa phương tiện trên các hệ thống Windows 64-bit.
Driver hoạt động như một lớp “thunk”. Nó dịch các yêu cầu giữa các môi trường hệ thống khác nhau. Cụ thể, nó bắc cầu giữa các ứng dụng chế độ người dùng 32-bit và các driver chế độ kernel 64-bit.
Lỗ hổng bảo mật xảy ra khi hệ thống xử lý các yêu cầu KSPROPERTY_VPCONFIG_DDRAWSURFACEHANDLE thông qua hàm dễ bị tổn thương.
Trong quá trình này, driver không xác thực đúng độ dài bộ đệm đầu ra. Điều này dẫn đến tình trạng tràn bộ đệm heap (heap overflow) có thể bị khai thác bởi mã độc.
Driver dễ bị tấn công đã được xác định với hàm băm SHA-1 như sau:
68B5B527550731DD657BF8F1E8FA31E895A7F176Khi khai thác thành công, kẻ tấn công có thể thao túng việc cấp phát bộ nhớ và các quy trình sao chép dữ liệu. Mục đích là để thực thi mã tùy ý với các đặc quyền được nâng cao. Điều này có thể dẫn đến việc chiếm quyền điều khiển hoàn toàn hệ thống.
Quá trình tiết lộ lỗ hổng này tuân theo một quy trình có trách nhiệm, kéo dài vài tháng. Các nhà nghiên cứu bảo mật đã phát hiện lỗi ban đầu vào ngày 14 tháng 4 năm 2025. Sau đó, họ báo cáo cho Microsoft bốn ngày sau, vào ngày 18 tháng 4 năm 2025.
Microsoft đã xác nhận lỗ hổng CVE vào ngày 20 tháng 5 năm 2025 và trao thưởng bảo mật vào ngày 4 tháng 6 năm 2025.
Biện pháp Khắc phục và Bảo vệ Hệ thống
Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng CVE-2025-53149. Các bản cập nhật này là một phần của chu kỳ phát hành **Patch Tuesday tháng 8 năm 2025**.
Các quản trị viên hệ thống và người dùng cần áp dụng ngay lập tức các **bản vá bảo mật** liên quan. Việc này nhằm bảo vệ hệ thống của mình khỏi nguy cơ khai thác tiềm tàng.
Bản vá giải quyết vấn đề cốt lõi bằng cách bổ sung các kiểm tra xác thực phù hợp. Chúng được thêm vào cho độ dài bộ đệm đầu ra trong hàm dễ bị tổn thương. Điều này ngăn chặn tình trạng tràn bộ đệm heap, vốn cho phép các cuộc tấn công leo thang đặc quyền.
Mặc dù chưa có báo cáo về việc khai thác tích cực trong thực tế, chi tiết kỹ thuật của lỗ hổng CVE đã được công khai. Điều này làm tăng tiềm năng cho các nỗ lực tấn công trong tương lai.
Các nhóm bảo mật cần đảm bảo hệ thống Windows của mình luôn được cập nhật. Đồng thời, họ cần theo dõi mọi hoạt động leo thang đặc quyền đáng ngờ. Điều này nhằm phát hiện kịp thời các nỗ lực khai thác tiềm năng.
Việc phát hiện lỗ hổng CVE-2025-53149 nhấn mạnh tầm quan trọng của nghiên cứu bảo mật. Nó giúp xác định và khắc phục các lỗ hổng trong các thành phần hệ thống quan trọng. Điều này đúng ngay cả với các driver tưởng chừng ít được biết đến như Kernel Streaming WOW Thunk Service Driver.
