Một lỗ hổng remote code execution (RCE) nghiêm trọng trong Microsoft Windows Graphics Component cho phép kẻ tấn công kiểm soát hệ thống chỉ bằng cách sử dụng các hình ảnh JPEG được chế tạo đặc biệt.
Với điểm CVSS 9.8, lỗ hổng này đặt ra một mối đe dọa nghiêm trọng đối với người dùng Windows trên toàn thế giới, vì nó không yêu cầu tương tác của người dùng để khai thác.
Tổng Quan Lỗ Hổng Windows Graphics Component
Nguồn Gốc và Tác Động Ban Đầu
Lỗ hổng được phát hiện vào tháng 5 năm 2025 và được Microsoft vá vào ngày 12 tháng 8 năm 2025. Vấn đề này xuất phát từ việc tham chiếu con trỏ không đáng tin cậy (untrusted pointer dereference) trong thư viện windowscodecs.dll, ảnh hưởng đến các chức năng xử lý hình ảnh cốt lõi.
Kẻ tấn công có thể nhúng hình ảnh JPEG độc hại vào các tệp thông thường như tài liệu Microsoft Office. Điều này cho phép xâm nhập âm thầm khi tệp được mở hoặc xem trước.
Lỗ hổng này làm nổi bật những rủi ro liên tục trong việc xử lý đồ họa cũ, nơi việc giải mã hình ảnh tưởng chừng vô hại có thể dẫn đến việc chiếm quyền kiểm soát hệ thống hoàn toàn.
Do Windows đang cung cấp năng lượng cho hàng tỷ thiết bị, các hệ thống chưa được vá vẫn rất dễ bị lộ trước các chiến dịch lừa đảo (phishing) hoặc tải xuống không mong muốn (drive-by downloads).
Phân Tích Kỹ Thuật: Mối Đe Dọa Remote Code Execution
Quy Trình Khám Phá Lỗ Hổng
Zscaler ThreatLabz đã xác định lỗ hổng này thông qua việc kiểm thử lỗi (fuzzing) có mục tiêu vào Windows Imaging Component. Các nhà nghiên cứu tập trung vào các đường dẫn mã hóa và giải mã JPEG trong windowscodecs.dll.
Điểm vào để khai thác nằm trong hàm GpReadOnlyMemoryStream::InitFile. Tại đây, các kích thước bộ đệm bị thao túng cho phép kẻ tấn công kiểm soát các ảnh chụp nhanh bộ nhớ trong quá trình ánh xạ tệp.
Quá trình fuzzing đã phát hiện một sự cố được kích hoạt bởi việc tham chiếu một con trỏ chưa được khởi tạo tại jpeg_finish_compress+0xcc. Điều này phơi bày dữ liệu có thể điều khiển bởi người dùng thông qua kỹ thuật heap spraying.
Phân tích dấu vết ngăn xếp từ WinDbg chỉ ra các hàm chính như CJpegTurboFrameEncode::HrWriteSource và CFrameEncodeBase::WriteSource. Điều này xác nhận lỗ hổng nằm trong các quy trình mã hóa siêu dữ liệu JPEG.
Ảnh Hưởng của Lỗ Hổng
Vấn đề tài nguyên chưa được khởi tạo này cho phép thực thi mã tùy ý mà không cần đặc quyền, khiến nó có thể bị khai thác qua mạng. Microsoft đã xác nhận lỗ hổng ảnh hưởng đến việc hiển thị hình ảnh tự động trong các ứng dụng phụ thuộc vào Graphics Component.
Lỗ hổng tác động đến các bản phát hành Windows gần đây, đặc biệt là những bản sử dụng các bản dựng windowscodecs.dll dễ bị tấn công. Các tổ chức phải ưu tiên cập nhật để giảm thiểu rủi ro, vì việc khai thác có thể kết hợp với các cuộc tấn công khác để di chuyển ngang trong mạng, dẫn đến chiếm quyền điều khiển hoàn toàn.
Kỹ Thuật Khai Thác và Cơ Chế Tấn Công
Chi Tiết Khai Thác CVE-2025-50165
Khai thác CVE-2025-50165 liên quan đến việc tạo một hình ảnh JPEG kích hoạt việc tham chiếu con trỏ trong quá trình giải mã. Điều này thường được thực hiện thông qua các tệp nhúng trong Microsoft Office hoặc ứng dụng của bên thứ ba.
Đối với các hệ thống 64-bit, kẻ tấn công bỏ qua Control Flow Guard (CFG) bằng cách sử dụng các chuỗi Return-Oriented Programming (ROP) trong các khối heap được phun có kích thước 0x3ef7. Kỹ thuật này chuyển hướng thực thi bằng cách tạo bộ nhớ có quyền đọc-ghi-thực thi (read-write-execute) với VirtualAlloc và tải shellcode để truy cập liên tục.
Bằng chứng khái niệm (proof-of-concept) của Zscaler minh họa thao tác heap thông qua một ứng dụng mẫu. Ứng dụng này cấp phát, giải phóng và xử lý các tệp JPEG được mã hóa Base64, đạt được quyền kiểm soát RIP (Instruction Pointer). Chi tiết kỹ thuật có thể tham khảo thêm tại Zscaler Security Research.
Mặc dù chưa có báo cáo về việc khai thác trong thực tế, độ phức tạp thấp và khả năng tiếp cận mạng rộng khiến nó trở thành mục tiêu hàng đầu cho các cuộc tấn công ransomware hoặc gián điệp. CFG bị tắt theo mặc định trong các phiên bản 32-bit, giúp dễ dàng tấn công các thiết lập cũ hơn để thực hiện remote code execution.
Giải Pháp: Cập Nhật Bản Vá và Biện Pháp Phòng Ngừa
Cập Nhật Bản Vá và Bảo Vệ Hệ Thống
Người dùng nên áp dụng ngay lập tức các bản cập nhật bản vá tháng 8 năm 2025 thông qua Windows Update, ưu tiên các tài sản có giá trị cao trước.
Để tăng cường bảo mật, hãy tắt tính năng xem trước hình ảnh tự động trong các ứng dụng email. Đồng thời, thực thi môi trường hộp cát (sandboxing) cho các tệp không đáng tin cậy. Zscaler đã triển khai các biện pháp bảo vệ dựa trên đám mây để chặn các nỗ lực khai thác lỗ hổng remote code execution này.
Sự cố này nhấn mạnh những nguy hiểm của các thư viện đồ họa chưa được vá trong môi trường doanh nghiệp, nơi các tệp JPEG phổ biến trong quy trình làm việc. Khi các tác nhân đe dọa phát triển chiến thuật, việc vá lỗi kịp thời vẫn là biện pháp phòng thủ mạnh mẽ nhất chống lại các mối đe dọa kiểu này. Với việc chưa có khai thác tích cực được quan sát, các biện pháp chủ động có thể ngăn chặn thiệt hại trên diện rộng.
