Sophos đã công bố ba lỗ hổng bảo mật nghiêm trọng trong giải pháp bảo mật điểm cuối Sophos Intercept X for Windows, có khả năng cho phép những kẻ tấn công thực thi mã tùy ý và giành quyền truy cập ở cấp độ hệ thống trên các hệ thống bị ảnh hưởng.
Các lỗ hổng này, được định danh là CVE-2024-13972, CVE-2025-7433, và CVE-2025-7472, đều mang mức độ nghiêm trọng cao và ảnh hưởng đến các thành phần khác nhau của phần mềm bảo mật, bao gồm trình cập nhật (updater), mô-đun mã hóa thiết bị (Device Encryption), và trình cài đặt (installer).
Phân tích các lỗ hổng bảo mật
CVE-2024-13972: Lỗ hổng leo thang đặc quyền trong trình cập nhật
Lỗ hổng CVE-2024-13972 là một trong những điểm yếu quan trọng nhất được phát hiện. Đây là một lỗ hổng liên quan đến quyền truy cập registry trong trình cập nhật của Intercept X for Windows. Lỗ hổng này cho phép người dùng cục bộ có khả năng leo thang đặc quyền lên cấp độ hệ thống (SYSTEM privileges) trong quá trình nâng cấp sản phẩm.
Việc leo thang đặc quyền cục bộ (Local Privilege Escalation – LPE) là một mối đe dọa nghiêm trọng, vì nó cho phép một tài khoản người dùng có đặc quyền thấp trên hệ thống bị nhiễm có thể giành quyền kiểm soát hoàn toàn hệ điều hành. Khi kẻ tấn công đạt được quyền SYSTEM, chúng có thể thực hiện bất kỳ hành động nào, bao gồm cài đặt phần mềm độc hại, sửa đổi cấu hình hệ thống, truy cập hoặc đánh cắp dữ liệu nhạy cảm, và thiết lập sự tồn tại lâu dài trên hệ thống.
Lỗ hổng này được phát hiện và công bố một cách có trách nhiệm bởi nhà nghiên cứu bảo mật Filip Dragovic từ MDSec, nhấn mạnh tầm quan trọng của sự hợp tác nghiên cứu bảo mật giữa các nhà cung cấp và cộng đồng an ninh mạng.
CVE-2025-7433: Thực thi mã tùy ý trong mô-đun mã hóa thiết bị
CVE-2025-7433 đại diện cho một lỗ hổng leo thang đặc quyền cục bộ nghiêm trọng khác được phát hiện trong thành phần Device Encryption của Sophos Intercept X for Windows. Lỗ hổng này đặc biệt nguy hiểm vì nó cho phép thực thi mã tùy ý (Arbitrary Code Execution – ACE) trên hệ thống bị ảnh hưởng.
Khả năng thực thi mã tùy ý đồng nghĩa với việc kẻ tấn công có thể chạy bất kỳ đoạn mã nào mà chúng chọn trên hệ thống mục tiêu. Trong ngữ cảnh của một giải pháp bảo mật như Intercept X, điều này có thể bị lợi dụng để vô hiệu hóa các biện pháp bảo vệ, cài đặt phần mềm độc hại, hoặc thực hiện các hoạt động phá hoại dữ liệu. Lỗ hổng này nhắm trực tiếp vào chức năng mã hóa mà nhiều tổ chức dựa vào để bảo vệ dữ liệu nhạy cảm.
Lỗ hổng này được xác định bởi nhà nghiên cứu bảo mật Sina Kheirkhah từ watchTowr.
CVE-2025-7472: Leo thang đặc quyền thông qua trình cài đặt
Lỗ hổng thứ ba, CVE-2025-7472, ảnh hưởng đến trình cài đặt của Intercept X for Windows. Lỗ hổng này có thể dẫn đến leo thang đặc quyền cục bộ khi trình cài đặt chạy với quyền SYSTEM. Điều này có nghĩa là nếu một người dùng cục bộ có thể khởi chạy trình cài đặt Sophos trong một cấu hình cụ thể, họ có thể khai thác lỗ hổng này để nâng cấp đặc quyền của mình lên cấp độ cao nhất trên hệ thống.
Tương tự như các lỗ hổng leo thang đặc quyền khác, việc khai thác CVE-2025-7472 có thể dẫn đến việc kiểm soát hoàn toàn hệ thống, cho phép kẻ tấn công thực hiện các hành động nguy hiểm như truy cập dữ liệu nhạy cảm, cài đặt các ứng dụng độc hại, hoặc tạo ra các cửa hậu (backdoor) để duy trì sự truy cập.
Lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Sandro Poppi thông qua chương trình săn lỗi nhận thưởng (bug bounty program) của Sophos, minh chứng hiệu quả của các chương trình nghiên cứu bảo mật được khuyến khích.
Các bản vá và biện pháp khắc phục
Sophos đã phát hành các bản vá toàn diện trên nhiều phiên bản sản phẩm và cấp độ hỗ trợ để khắc phục các lỗ hổng này. Các tổ chức được khuyến nghị mạnh mẽ thực hiện các hành động cần thiết ngay lập tức để bảo vệ hệ thống của mình.
Bản vá cho CVE-2024-13972
Đối với CVE-2024-13972, các bản vá đã có sẵn trong các phiên bản sau:
- Sophos Intercept X for Windows 2024.3.2
- Phiên bản Hỗ trợ thời hạn cố định (Fixed Term Support – FTS) 2024.3.2.23.2
- Phiên bản Hỗ trợ dài hạn (Long Term Support – LTS) 2025.0.1.1.2
Các tổ chức đang sử dụng chính sách cập nhật mặc định sẽ tự động nhận được các bản sửa lỗi này. Tuy nhiên, việc xác minh trạng thái cập nhật luôn là một thực hành tốt.
Bản vá cho CVE-2025-7433
Lỗ hổng CVE-2025-7433 đã được khắc phục trong phiên bản Device Encryption 2025.1, được phát hành vào ngày 1 tháng 7 năm 2025. Các bản sửa lỗi bổ sung cũng đã được tích hợp vào các phiên bản FTS và LTS tương ứng.
Bản vá cho CVE-2025-7472
Đối với CVE-2025-7472, phiên bản trình cài đặt cập nhật 1.22 đã có sẵn từ ngày 6 tháng 3 năm 2025.
Hành động khuyến nghị cho các tổ chức
Các tổ chức phải thực hiện hành động ngay lập tức để giải quyết các lỗ hổng này. Việc trì hoãn có thể khiến hệ thống của họ dễ bị tấn công, dẫn đến những hậu quả nghiêm trọng như vi phạm dữ liệu, mất mát tài sản trí tuệ, hoặc gián đoạn hoạt động kinh doanh.
- Đối với các hệ thống sử dụng cập nhật tự động: Nên xác minh rằng các hệ thống của họ đã nhận được các bản vá mới nhất. Mặc dù cập nhật tự động thường hoạt động hiệu quả, việc kiểm tra định kỳ đảm bảo tính bảo mật.
- Đối với khách hàng FTS và LTS: Những khách hàng này phải nâng cấp thủ công lên các phiên bản mới nhất để nhận được các bản sửa lỗi bảo mật quan trọng này. Cơ chế cập nhật thủ công yêu cầu sự chủ động từ phía người quản trị hệ thống.
- Đối với việc triển khai mới: Bất kỳ triển khai nào sử dụng các phiên bản trình cài đặt cũ hơn phải tải xuống trình cài đặt mới nhất từ Sophos Central. Điều này là cần thiết để ngăn chặn việc khai thác CVE-2025-7472 trong các cài đặt mới, đảm bảo rằng ngay cả những hệ thống mới triển khai cũng được bảo vệ ngay từ đầu.
Những lỗ hổng này một lần nữa nhấn mạnh tầm quan trọng của việc duy trì các phiên bản phần mềm bảo mật hiện hành và thực hiện các quy trình quản lý bản vá mạnh mẽ trong toàn bộ môi trường doanh nghiệp. Việc cập nhật thường xuyên không chỉ là một khuyến nghị mà là một yêu cầu cơ bản để duy trì một tư thế an ninh mạng vững chắc trước các mối đe dọa ngày càng phát triển.
