Lỗ hổng Zero-day mới nhằm đách cắp thông tin xác thực NTLM trên hệ điều hành Windows
Một lỗ hổng zero-day mới được phát hiện trong hệ điều hành Windows cho phép kẻ tấn công đánh cắp thông tin xác thực NTLM của người dùng chỉ bằng cách dụ họ xem một tệp độc hại trong Windows Explorer.
Tổng quan
Vào tháng 03 năm 2025, một số nhà phần tích đã tìm ra hai lỗ hổng nghiêm trọng của Windows là: CVE-2025-21308 và CVE-2025-21377 gây ra lộ lọt thông tin xác thực NTLM. Hai lỗ hổng này cho phép kẻ tấn công thu thập thông tin xác thực NTLM của người dùng bằng cách khiến họ xem một tệp độc hại trong Windows Explorer, chẳng hạn như mở một thư mục chia sẻ hoặc ổ USB chứa tệp đó, hoặc xem thư mục Downloads nơi tệp đã được tải xuống tự động từ trang web của kẻ tấn công.
Hiện tại, Microsoft chưa phát hành bản vá chính thức cho lỗ hổng này. Tuy nhiên, ACROS Security đã cung cấp các bản vá không chính thức thông qua dịch vụ 0patch của họ cho tất cả các phiên bản Windows bị ảnh hưởng. Những bản vá này được cung cấp miễn phí cho đến khi Microsoft phát hành bản vá chính thức.
Thông tin lỗ hổng
CVE-2025-21308
Mô tả: CVE-2025-21308 là một lỗ hổng bảo mật liên quan đến tính năng Windows Themes trong hệ điều hành Windows, được công bố vào ngày 14 tháng 1 năm 2025.
Điểm CVSS: 6.5
Mức độ nguy hiểm: Trung bình
Tác động: Lỗ hổng này cho phép kẻ tấn công thực hiện hành vi giả mạo bằng cách thuyết phục người dùng tải và áp dụng một tệp chủ đề (theme) độc hại.
CVE-2025-21377
Mô tả: CVE-2025-21377 là một lỗ hổng bảo mật liên quan đến việc tiết lộ và giả mạo (spoofing) hash NTLM trong hệ điều hành Windows, được công bố vào ngày 11 tháng 2 năm 2025.
Điểm CVSS: 6.5
Mức độ nguy hiểm: Trung bình
Tác động: Lỗ hổng này cho phép kẻ tấn công thu thập thông tin xác thực NTLMv2 của người dùng, có thể dẫn đến truy cập trái phép vào hệ thống và dữ liệu nhạy cảm.
Phiên bản ảnh hưởng
Phạm vi ảnh hưởng: Lỗ hổng ảnh hưởng đến nhiều phiên bản Windows, bao gồm:
Windows 10 (các phiên bản từ 1507 đến 22H2)
Windows 11 (các phiên bản từ 22H2 đến 24H2)
Windows Server 2008, 2012, 2016, 2019, 2022 và 2025
Chi tiết lỗ hổng
Hai lỗ hổng CVE-2025-21308 và CVE-2025-21377 có thể bị khai thác trong các chiến dịch tấn công nhằm đánh cắp thông tin xác thực NTLM và thực hiện tấn công giả mạo. Dưới đây là cách thức mà kẻ tấn công có thể thực hiện để khai thác những lỗ hổng này trong một chiến dịch có chủ đích:
Ban đầu những kẻ tấn công sẽ lợi dụng lỗ hổng CVE-2025-21308 (Windows Themes Spoofing) nhằm mục đích:
Lừa người dùng tải và áp dụng tệp Windows Theme độc hại để đánh cắp thông tin đăng nhập NTLM.
Tạo điều kiện cho tấn công relay NTLM hoặc brute-force password hash.
Để có thể thực hiện, tin tặc cần tạo một tệp .theme với nội dung độc hại, trong đó tùy chỉnh hình nền (wallpaper) hoặc âm thanh (sound scheme) trỏ đến một máy chủ SMB hoặc WebDAV từ xa do kẻ tấn công kiểm soát.
\=> Ở đây, \\attacker-server\share\malicious.jpg là một đường dẫn SMB từ xa. Khi Windows cố tải hình nền này, nó sẽ tự động gửi hash NTLMv2 của người dùng đến máy chủ của kẻ tấn công.
Sau khi tạo tệp .theme, kẻ tấn công sẽ phát tán nó đến nạn nhân bằng các phương pháp như:
Gửi qua email dưới dạng tệp đính kèm hoặc liên kết tải xuống.
Nhúng trong các trang web để người dùng vô tình tải về.
Đính kèm trong các gói phần mềm độc hại hoặc các bản mod game.
Khi người dùng mở hoặc áp dụng tệp .theme, Windows sẽ cố gắng tải các thành phần trong theme (hình nền, biểu tượng, âm thanh…). Nếu theme có hình nền từ một đường dẫn SMB/WebDAV từ xa, Windows sẽ tự động gửi thông tin xác thực NTLMv2 của người dùng đến máy chủ kẻ tấn công.
Sau khi đã lấy được mã Hash NTLM Hoặc Relay NTLM của nạn nhân, kẻ tấn công sẽ tiếp tục lợi dụng lỗ hổng CVE-2025-21377 nhằm hai mục đích chính:
Sử dụng hash NTLM để thực hiện tấn công relay NTLM vào các dịch vụ nội bộ của Windows (SMB, RDP, LDAP...).
Giải mã hash NTLM để lấy mật khẩu của nạn nhân.
Để có thể giải mã hash NTLM kẻ tấn công sẽ có hai tùy chọn:
Giải mã hash NTLM bằng brute-force
- Trong trường hợp mật khẩu yếu, kẻ tấn công có thể crack được mật khẩu và truy cập vào tài khoản Windows của nạn nhân bằng công cụ Hashcat
Relay NTLM để truy cập vào hệ thống khác
- Nếu hệ thống nội bộ hỗ trợ NTLM authentication, kẻ tấn công có thể đăng nhập vào máy chủ, truy cập file, hoặc chiếm quyền quản trị.
Cuối cùng sau khi đã có đủ thông tin đăng nhập, những kẻ tấn công sẽ tiến hành leo thang đặc quyền:
Sử dụng thông tin thu thập được để leo thang đặc quyền (Privilege Escalation).
Thực hiện tấn công Pass-the-Hash để di chuyển sang các hệ thống khác trong mạng nội bộ.
Khuyến nghị
Cập nhật hệ thống ngay lập tức
Vô Hiệu Hóa NTLM Nếu Có Thể (tắt NTLM trên Windows)
Mở
Local Security Policy (secpol.msc), vào:
Hoặc sử dụng Group Policy:
Chặn Kết Nối SMB/WebDAV Ra Ngoài Internet
Chặn truy cập SMB trên cổng 445 và WebDAV trên 80/443 với Firewall.
Sử dụng Windows Defender Attack Surface Reduction (ASR) để chặn SMB/WebDAV tự động.
Chặn File Theme & Shortcut Độc Hại (.theme, .lnk, .html)
Không mở file
.theme,.themepack,.desktopthemepackfiletừ nguồn không tin cậy.Chặn các phần mở rộng này trên email & trình duyệt:
- Sử dụng Microsoft Defender for Office 365 để chặn file
.theme,.lnk,.html.
- Sử dụng Microsoft Defender for Office 365 để chặn file
Chặn mở file shortcut từ thư mục không tin cậy bằng Group Policy:
Kích Hoạt SMB Signing Để Ngăn Chặn NTLM Relay
Nếu NTLM bắt buộc phải sử dụng, hãy bật SMB Signing để ngăn chặn tấn công relay NTLM.
Sử Dụng Xác Thực Đa Yếu Tố (MFA)
- Nếu có thể, hãy bắt buộc sử dụng MFA trên tất cả các tài khoản quản trị và tài khoản quan trọng.
Kết luận
Cả CVE-2025-21308 và CVE-2025-21377 đều là những lỗ hổng nguy hiểm liên quan đến NTLM, có thể bị khai thác để thu thập hash NTLM và thực hiện relay attack hoặc brute-force password. Chiến dịch khai thác hai lỗ hổng này có thể gây ra rủi ro lớn nếu không có các biện pháp bảo vệ thích hợp. Do đó, cập nhật hệ thống và áp dụng các phương pháp bảo mật là cách tốt nhất để bảo vệ doanh nghiệp và người dùng khỏi các cuộc tấn công này.
