Cảnh báo: CVE-2025-59287 trong WSUS cho phép thực thi mã từ xa — đã có khai thác
Thông tin tổng quan
Ngày 14/10/2025, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng và không yêu cầu xác thực đã được phát hiện trong Windows Server Update Services (WSUS) — một thành phần cốt lõi trong hạ tầng quản lý bản vá của Microsoft. Bản vá phát hành trong Patch Tuesday tháng 10 của Microsoft chưa khắc phục triệt để lỗi này, buộc hãng phải phát hành một bản cập nhật khẩn cấp ngoài chu kỳ (out-of-band) vào ngày 23/10/2025.
Chỉ vài giờ sau khi bản vá khẩn cấp được công bố, nhiều nhóm nghiên cứu bảo mật khác đã ghi nhận các cuộc tấn công khai thác thực tế (active exploitation). Với việc một dịch vụ hạ tầng trọng yếu bị ảnh hưởng bởi RCE không yêu cầu xác thực, kết hợp cùng hoạt động khai thác đang diễn ra, lỗ hổng này được đánh giá là rủi ro nghiêm trọng và mang tính cấp bách cao.
Thông tin lỗ hổng
Mã định danh: CVE-2025-59287
Mức độ nghiêm trọng: Critical (CVSS 9.8)
Ảnh hưởng: Cho phép kẻ tấn công từ xa, không xác thực, thực thi mã tùy ý với quyền SYSTEM trên máy chủ bị ảnh hưởng.
Tình trạng: Đang bị khai thác thực tế. Hoạt động tấn công được ghi nhận chỉ vài giờ sau bản vá khẩn cấp của Microsoft (23/10).
Cập nhật từ CISA: Ngày 24/10/2025, CISA đã thêm CVE-2025-59287 vào danh mục Known Exploited Vulnerabilities (KEV), nhấn mạnh mức độ nguy hiểm.
Khuyến nghị: Với các tổ chức chưa thể cập nhật ngay, Microsoft cung cấp biện pháp giảm thiểu tạm thời nhằm hạn chế rủi ro.
Chi tiết kỹ thuật tấn công CVE-2025-59287
WSUS là công cụ nền tảng cho các quản trị viên CNTT trong việc quản lý và phân phối bản cập nhật Microsoft trên quy mô doanh nghiệp. Do đóng vai trò là nguồn phát hành bản vá “đáng tin cậy”, WSUS trở thành mục tiêu hấp dẫn cho tin tặc, bởi việc chiếm quyền WSUS có thể dẫn đến di chuyển ngang và xâm nhập toàn mạng lưới nội bộ.
Lỗ hổng bắt nguồn từ việc giải tuần tự (deserialization) dữ liệu không đáng tin cậy. Các nhà nghiên cứu đã xác định hai đường tấn công chính:
GetCookie() endpoint: cho phép kẻ tấn công gửi yêu cầu được chế tạo đặc biệt khiến hệ thống giải tuần tự đối tượng AuthorizationCookie bằng BinaryFormatter không an toàn.
ReportingWebService endpoint: cho phép khai thác qua SoapFormatter, dẫn đến thực thi mã tùy ý.
Trong cả hai trường hợp, kẻ tấn công từ xa và không xác thực có thể ép hệ thống chạy mã độc với quyền cao nhất (SYSTEM).
Hệ điều hành bị ảnh hưởng:
- Windows Server 2012, 2012 R2, 2016, 2019, 2022 (bao gồm bản 23H2) và 2025.
Điều kiện khai thác:
- Chỉ ảnh hưởng đến máy chủ đã kích hoạt vai trò WSUS Server Role (mặc định không bật).
Phân tích từ Unit 42 cho thấy quy trình tấn công thường gồm các giai đoạn sau:
1. Truy cập ban đầu:
- Tin tặc quét và nhắm vào các WSUS instance công khai qua cổng mặc định TCP 8530 (HTTP) và 8531 (HTTPS).
2. Thực thi mã:
Thực thi các lệnh PowerShell độc hại thông qua chuỗi tiến trình:
wsusservice.exe → cmd.exe → cmd.exe → powershell.exe
w3wp.exe → cmd.exe → cmd.exe → powershell.exe
3. Trinh sát nội bộ:
Mã độc thu thập thông tin môi trường bằng các lệnh: whoami, net user /domain, ipconfig /all
Dữ liệu thu được giúp tin tặc lập bản đồ miền nội bộ và xác định tài khoản có giá trị cao để di chuyển ngang.
4. Rò rỉ dữ liệu:
- Dữ liệu được gửi ra ngoài thông qua Webhook[.]site, sử dụng PowerShell Invoke-WebRequest hoặc fallback curl.exe.
Theo Cortex Xpanse, có khoảng 5.500 máy chủ WSUS đang được phơi bày ra Internet — cho thấy bề mặt tấn công toàn cầu đáng kể. Các TTP này cho thấy giai đoạn hiện tại chủ yếu là trinh sát và chiếm quyền ban đầu, có thể mở rộng thành xâm nhập quy mô lớn.
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị các doanh nghiệp và tổ chức thực hiện vá lỗ hổng theo khuyến nghị của Microsoft theo đường link sau: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
Nếu chưa thể áp dụng bản vá khẩn cấp, Microsoft đề xuất hai biện pháp giảm thiểu tạm thời:
Vô hiệu hóa WSUS Server Role: Loại bỏ hoàn toàn vector tấn công, nhưng cũng đồng nghĩa máy chủ không thể phân phối bản cập nhật.
Chặn cổng 8530 và 8531: Ngăn truy cập đến WSUS qua tường lửa máy chủ, giúp chặn kênh khai thác, song vẫn tạm dừng hoạt động cập nhật.
Doanh nghiệp nên theo dõi hướng dẫn cập nhật của Microsoft thường xuyên để đảm bảo áp dụng bản vá sớm nhất có thể.
Đồng thời cần phải theo dõi, giám sát các hoạt động, hành vi bất thường nhằm phát hiện kịp thời hành vi tấn công để có biện pháp xử lý trong thời gian ngắn nhất để giảm thiểu rủi ro tác động tới dữ liệu của tổ chức, doanh nghiêp.
