Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 02

Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 02

Tác giả: [email protected]
15:19 20/02/2025

I. Các lỗ hổng bảo mật được công bố trong tháng 02/2025

1. Microsoft

Trong tháng 02/2025, Microsoft đã tung ra các bản cập nhật bảo mật nhằm khắc phục 55 lỗ hổng, trong đó có bốn lỗ hổng zero-day, với hai lỗ hổng đang bị khai thác trong các cuộc tấn công. Đợt cập nhật lần này cũng sửa ba lỗ hổng nghiêm trọng, tất cả đều thuộc loại thực thi mã từ xa (RCE).

Số lượng lỗ hổng theo từng loại như sau:

  • 19 lỗ hổng nâng cao đặc quyền (Elevation of Privilege Vulnerabilities).
  • 2 lỗ hổng bỏ qua tính năng bảo mật (Security Feature Bypass Vulnerabilities).
  • 22 lỗ hổng thực thi mã từ xa (Remote Code Execution Vulnerabilities).
  • 1 lỗ hổng tiết lộ thông tin (Information Disclosure Vulnerabilities).
  • 9 lỗ hổng tấn công từ chối dịch vụ (Denial of Service Vulnerabilities).
  • 3 lỗ hổng giả mạo (Spoofing Vulnerabilities).

Trong bản vá tháng này, Microsoft đã xử lý 2 lỗ hổng zero-day đang bị khai thác tích cực và 2 lỗ hổng zero-day đã được công khai. Microsoft định nghĩa lỗ hổng zero-day là lỗ hổng đã được công khai hoặc đang bị khai thác trước khi có bản sửa lỗi chính thức.

Các lỗ hổng zero-day đang bị khai thác tích cực trong bản cập nhật lần này là:

CVE-2025-21391 - Lỗ hổng nâng cao đặc quyền trong Windows Storage (Windows Storage Elevation of Privilege Vulnerability)

  • Microsoft đã khắc phục lỗ hổng nâng cao đặc quyền đang bị khai thác có thể được sử dụng để xóa tệp tin. “Kẻ tấn công chỉ có thể xóa các tệp được nhắm mục tiêu trên hệ thống," theo khuyến cáo từ Microsoft.
  • “Lỗ hổng này không cho phép tiết lộ thông tin mật nhưng có thể cho phép kẻ tấn công xóa dữ liệu, bao gồm cả dữ liệu khiến dịch vụ không thể hoạt động," Microsoft cho biết thêm.
  • Không có thông tin nào được công bố về cách lỗ hổng này bị khai thác trong các cuộc tấn công hoặc ai là người tiết lộ nó.

CVE-2025-21418 - Lỗ hổng nâng cao đặc quyền trong Windows Ancillary Function Driver for WinSock (Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability)

  • Lỗ hổng bị khai thác thứ hai cho phép kẻ tấn công giành được quyền SYSTEM trên Windows.
  • Hiện vẫn chưa rõ cách lỗ hổng này bị khai thác trong các cuộc tấn công, và Microsoft cho biết lỗ hổng này được tiết lộ một cách ẩn danh.

Các lỗ hổng zero-day đã được công khai bao gồm:

CVE-2025-21194 - Lỗ hổng bỏ qua tính năng bảo mật trên Microsoft Surface (Microsoft Surface Security Feature Bypass Vulnerability)

  • Microsoft cho biết đây là một lỗ hổng trong hypervisor, cho phép kẻ tấn công vượt qua UEFI và xâm nhập vào kernel bảo mật.
  • "Lỗ hổng Hypervisor này liên quan đến Máy ảo (Virtual Machine) trên một thiết bị chủ sử dụng Unified Extensible Firmware Interface (UEFI)," Microsoft giải thích. "Trên một số phần cứng cụ thể, có thể bỏ qua UEFI, dẫn đến việc xâm nhập hypervisor và kernel bảo mật."
  • Microsoft xác nhận Francisco Falcón và Iván Arce từ Quarkslab đã phát hiện ra lỗ hổng này.
  • Mặc dù Microsoft không chia sẻ nhiều chi tiết, nhưng lỗ hổng này có khả năng liên quan đến nhóm lỗ hổng PixieFail, gồm chín lỗ hổng ảnh hưởng đến ngăn xếp giao thức mạng IPv6 của Tianocore’s EDK II. Đây là nền tảng được sử dụng bởi Microsoft Surface và các sản phẩm hypervisor của hãng.

CVE-2025-21377 - Lỗ hổng giả mạo tiết lộ hash NTLM (NTLM Hash Disclosure Spoofing Vulnerability)

  • Microsoft đã khắc phục một lỗ hổng bảo mật có thể khiến Windows vô tình tiết lộ hash NTLM của người dùng, cho phép kẻ tấn công từ xa có thể đăng nhập với tư cách người dùng đó.
  • "Chỉ cần người dùng tương tác tối thiểu với tệp độc hại như chọn (nhấp một lần), xem thông tin (nhấp chuột phải), hoặc thực hiện một hành động khác ngoài việc mở hoặc chạy tệp cũng có thể kích hoạt lỗ hổng này," theo khuyến cáo từ Microsoft.
  • Mặc dù Microsoft không cung cấp nhiều chi tiết, nhưng lỗ hổng này có cơ chế hoạt động tương tự như các lỗ hổng tiết lộ hash NTLM khác. Khi người dùng chỉ tương tác với tệp mà không cần mở, Windows có thể vô tình kết nối từ xa với một máy chủ khác, từ đó gửi hash NTLM của người dùng đến máy chủ do kẻ tấn công kiểm soát.
  • Những hash NTLM này sau đó có thể bị bẻ khóa để lấy mật khẩu dưới dạng văn bản thuần (plain-text) hoặc được sử dụng trong các cuộc tấn công pass-the-hash.
  • Lỗ hổng này được phát hiện bởi Owen Cheung, Ivan Sheung, và Vincent Yau từ Cathay Pacific, Yorick Koster từ Securify B.V., cùng với Blaz Satler từ 0patch by ACROS Security.

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng.

Danh sách dưới đây liệt kê 4 lỗ hổng đã có bản vá trong tháng 2 được đánh giá ở mức độ nghiêm trọng:

Tag CVE ID CVE Title Severity
Microsoft Dynamics 365 Sales CVE-2025-21177 Microsoft Dynamics 365 Sales Elevation of Privilege Vulnerability Critical
Microsoft Office Excel CVE-2025-21381 Microsoft Excel Remote Code Execution Vulnerability Critical
Windows DHCP Server CVE-2025-21379 DHCP Client Service Remote Code Execution Vulnerability Critical
Windows LDAP - Lightweight Directory Access Protocol CVE-2025-21376 Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability Critical
  • Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch & paper.

2. Linux

CVE-2025-1369: Lỗ hổng chèn lệnh hệ điều hành (OS Command Injection) trong USB Password của MicroWord eScan Antivirus

  • Một lỗ hổng được phân loại là nghiêm trọng đã được phát hiện trong MicroWord eScan Antivirus 7.0.32 trên Linux. Thành phần bị ảnh hưởng là USB Password Handler, với chức năng chưa được xác định. Việc thao tác có thể dẫn đến tấn công chèn lệnh hệ điều hành (OS Command Injection).
  • Cuộc tấn công cần được thực hiện cục bộ. Mức độ phức tạp của cuộc tấn công khá cao, khiến việc khai thác trở nên khó khăn. Tuy nhiên, mã khai thác đã được công khai và có thể bị lợi dụng.
CVE-2025-1368: Lỗi tràn bộ đệm (Buffer Overflow) trong ReadConfiguration của mwav.conf thuộc MicroWord eScan Antivirus
a
  • Một lỗ hổng đã được phát hiện trong MicroWord eScan Antivirus 7.0.32 trên Linux và được đánh giá là có vấn đề. Lỗ hổng này ảnh hưởng đến hàm ReadConfiguration trong tệp /opt/MicroWorld/etc/mwav.conf. Việc thao tác đối số BasePath có thể dẫn đến lỗi tràn bộ đệm (Buffer Overflow).
  • Cuộc tấn công yêu cầu quyền truy cập cục bộ. Mã khai thác đã được công khai và có thể bị lợi dụng.
CVE-2025-1367: Lỗi tràn bộ đệm (Buffer Overflow) trong hàm sprintf của USB Password thuộc MicroWord eScan Antivirus
a
  • Một lỗ hổng đã được phát hiện trong MicroWord eScan Antivirus 7.0.32 trên Linux và được phân loại là nghiêm trọng (critical).
  • Lỗ hổng này ảnh hưởng đến hàm sprintf trong thành phần USB Password Handler. Việc thao tác có thể dẫn đến lỗi tràn bộ đệm (Buffer Overflow).
  • Cuộc tấn công yêu cầu quyền truy cập cục bộ.
FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.
a
  • Chi tiết về các lỗ hổng có thể xem tại ĐÂY.

3. VMware

VMware Công Bố Lỗ Hổng Rò rỉ thông tin (Information Disclosure) trong VMware Aria Operations (CVE-2025-22222)
a
  • VMware Aria Operations chứa lỗ hổng rò rỉ thông tin. Một kẻ tấn công có quyền hạn không phải quản trị viên có thể khai thác lỗ hổng này để lấy thông tin xác thực của một plugin outbound nếu biết ID thông tin xác thực hợp lệ.
  • Lỗ hổng này cho phép kẻ tấn công có quyền hạn thấp truy cập và lấy thông tin nhạy cảm (thông tin xác thực) của một plugin outbound. Điều này có thể dẫn đến truy cập trái phép vào các hệ thống hoặc dịch vụ được kết nối, tiềm ẩn nguy cơ làm lộ dữ liệu trên nhiều hệ thống.
VMware Công Bố Lỗ hổng Cross-Site Scripting lưu trữ trong VMware Aria Operations for Logs (CVE-2025-22221)
a
  • VMware Aria Operations for Logs chứa một lỗ hổng cross-site scripting (XSS) lưu trữ. Một tác nhân độc hại có quyền admin trong VMware Aria Operations for Logs có thể tiêm một đoạn mã độc, và mã này sẽ được thực thi trong trình duyệt của nạn nhân khi thực hiện hành động xóa trong Cấu hình Agent.
  • Lỗ hổng này có thể cho phép kẻ tấn công có quyền admin tiêm mã độc vào hệ thống VMware Aria Operations for Logs. Khi người dùng khác thực hiện hành động xóa trong Cấu hình Agent, đoạn mã độc đã tiêm có thể được thực thi trong trình duyệt của họ. Điều này có thể dẫn đến việc truy cập trái phép vào thông tin nhạy cảm, có thể bị đánh cắp phiên làm việc, hoặc các hành động độc hại khác được thực hiện dưới ngữ cảnh của phiên làm việc của nạn nhân.
VMware Công Bố Lỗ hổng kiểm soát truy cập bị lỗi trong VMware Aria Operations for Logs (CVE-2025-22220)
a
  • VMware Aria Operations for Logs chứa một lỗ hổng leo thang đặc quyền. Một tác nhân độc hại có quyền không phải quản trị viên và có quyền truy cập mạng vào API của Aria Operations for Logs có thể thực hiện một số thao tác trong ngữ cảnh của người dùng quản trị viên.
  • Lỗ hổng này cho phép người dùng không phải quản trị viên với quyền truy cập mạng vào API của Aria Operations for Logs leo thang quyền hạn và thực hiện các hành động như người dùng quản trị viên. Điều này có thể dẫn đến việc truy cập trái phép vào thông tin nhạy cảm, sửa đổi cấu hình hệ thống, hoặc các hành động quản trị khác có thể làm suy yếu tính toàn vẹn của hệ thống ghi nhật ký.
FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.
s
  • Chi tiết về các bản vá có thể xem tại ĐÂY.

II. Một số sự kiện an ninh mạng đáng chú ý

1. Microsoft cảnh báo tấn công "Device Code Phishing" do tin tặc Nga thực hiện

Microsoft vừa phát hiện nhóm tin tặc Storm-2372, nghi liên quan đến Nga, đang thực hiện tấn công lừa đảo Device Code Phishing từ tháng 8/2024, nhắm vào chính phủ, tổ chức phi chính phủ, công nghệ, quốc phòng, y tế và năng lượng trên toàn cầu.
a
Tin tặc giả danh trên WhatsApp, Signal, Microsoft Teams để gửi email lừa đảo mạo danh Microsoft Teams, yêu cầu nạn nhân nhập mã xác thực thiết bị. Khi đó, chúng lấy được token đăng nhập, chiếm quyền kiểm soát tài khoản Microsoft 365, tìm kiếm dữ liệu nhạy cảm và tiếp tục tấn công trong tổ chức.
a
Volexity cũng phát hiện APT29 (Cozy Bear), UTA0304 và UTA0307 đang sử dụng kỹ thuật này để đánh cắp thông tin từ các cơ quan chính phủ và tổ chức nghiên cứu lớn.
FPT Cloud khuyến nghị người dùng chặn Device Code Flow, bật MFA chống phishing, hạn chế quyền truy cập để giảm thiểu rủi ro.
a
  • Thông tin chi tiết hơn xem thêm tại ĐÂY.
Sao lưu dữ liệu của doanh nghiệp với dịch vụ của FPT Cloud ngay hôm nay để đối phó với các cuộc tấn công mạng nguy hiểm.
a

2. RansomHub tấn công hơn 600 tổ chức trên toàn cầu, trở thành nhóm Ransomware hàng đầu 2024

Theo báo cáo từ Group-IB, nhóm RansomHub đã thực hiện hơn 600 cuộc tấn công vào các tổ chức thuộc lĩnh vực y tế, tài chính, chính phủ và hạ tầng quan trọng trong năm 2024.
a
Phương thức tấn công chính:
  • Lợi dụng lỗ hổng Active Directory (CVE-2021-42278) và Netlogon (CVE-2020-1472) để chiếm quyền kiểm soát hệ thống.
  • Tấn công brute-force VPN bằng danh sách hơn 5.000 tài khoản, xâm nhập vào hệ thống qua tài khoản mặc định.
  • Mã hóa và đánh cắp dữ liệu trong vòng 24 giờ sau khi xâm nhập.
  • Sử dụng công cụ PCHunter để vô hiệu hóa phần mềm bảo mật.
Chiến lược mở rộng của RansomHub:
  • Tuyển mộ hacker từ các nhóm LockBit và BlackCat, tận dụng mạng lưới tội phạm mạng.
  • Sử dụng Phorpiex botnet để phát tán LockBit ransomware qua email phishing.
  • Tấn công thiết bị VPN chưa vá lỗ hổng (CVE-2021-20038) để xâm nhập hệ thống.
Các biện pháp phòng chống:
  • Cập nhật bảo mật thường xuyên, đặc biệt là các lỗ hổng đã biết.
  • Bật xác thực đa yếu tố (MFA) để chặn đăng nhập trái phép.
  • Giám sát hoạt động đăng nhập bất thường, phát hiện dấu hiệu tấn công sớm.
  • Hạn chế quyền truy cập, áp dụng nguyên tắc least privilege để giảm thiểu rủi ro.
Thông tin chi tiết hơn xem thêm tại ĐÂY.
a

3. Lỗ hổng bảo mật quan trọng của Cacti (CVE-2025-22604) cho phép thực thi mã từ xa

Lỗ hổng được theo dõi với tên gọi CVE-2025-22604 có điểm CVSS là 9,1 trên thang điểm tối đa là 10,0, được phát hiện trong nền tảng quản lý lỗi và giám sát mạng nguồn mở Cacti, có thể cho phép kẻ tấn công đã xác thực thực thi mã từ xa trên các phiên bản dễ bị tấn công.
a
Việc khai thác thành công lỗ hổng này có thể cho phép người dùng đã xác thực có quyền quản lý thiết bị thực thi mã tùy ý trên máy chủ và đánh cắp, chỉnh sửa hoặc xóa dữ liệu nhạy cảm.
k
CVE-2025-22604 ảnh hưởng đến tất cả các phiên bản phần mềm trước và bao gồm 1.2.28. Lỗi này đã được giải quyết trong phiên bản 1.2.29. Một nhà nghiên cứu bảo mật có biệt danh trực tuyến là u32i đã được ghi nhận là người phát hiện và báo cáo lỗi này.
n
Phiên bản mới nhất cũng đề cập đến CVE-2025-24367 (điểm CVSS: 7.2), lỗ hổng này có thể cho phép kẻ tấn công đã xác thực tạo các tập lệnh PHP tùy ý trong thư mục gốc của ứng dụng bằng cách lạm dụng chức năng tạo biểu đồ và mẫu biểu đồ, dẫn đến thực thi mã từ xa.
n
Do các lỗ hổng bảo mật trong Cacti đã bị khai thác trong quá khứ, các tổ chức dựa vào phần mềm để giám sát mạng nên ưu tiên áp dụng các bản vá cần thiết để giảm thiểu rủi ro bị xâm phạm.
n
Thông tin chi tiết hơn xem thêm tại ĐÂY.
a

4. Lừa đảo quảng cáo độc hại sử dụng Quảng cáo Google giả để chiếm đoạt Tài khoản quảng cáo Microsoft

Chiến dịch quảng cáo độc hại nhắm vào nhà quảng cáo Microsoft:
  • Tin tặc sử dụng Google Ads giả mạo để lừa người dùng truy cập trang lừa đảo giống hệt ads.microsoft.com, nhằm đánh cắp thông tin đăng nhập và mã 2FA.
  • Kỹ thuật né tránh bảo mật gồm: chuyển hướng VPN, Cloudflare challenges, và hiển thị video meme khi truy cập trực tiếp.
  • Cơ sở hạ tầng lừa đảo có nguồn gốc từ Brazil (.com.br), tương tự các chiến dịch trước đây nhắm vào Google Ads (.pt).
  • Google khẳng định đang xử lý và cấm quảng cáo lừa đảo.
Chiến dịch Smishing mạo danh USPS:
  • Tin nhắn SMS giả mạo USPS dụ nạn nhân tải file PDF chứa liên kết độc hại, dẫn đến trang giả mạo yêu cầu thông tin cá nhân và thẻ thanh toán.
  • Tội phạm mạng sử dụng kỹ thuật che giấu URL, vượt qua một số giải pháp bảo mật.
  • iMessage bị khai thác để tránh cơ chế chống lừa đảo bằng cách yêu cầu người dùng trả lời tin nhắn.
  • Chiến dịch có thể liên quan đến PhaaS Darcula, nhắm vào hệ thống bưu chính trên 100 quốc gia.
FPT Cloud khuyến nghị: Người dùng và doanh nghiệp cần cảnh giác với quảng cáo tìm kiếm giả mạo và tin nhắn Smishing, đồng thời kích hoạt bảo mật nhiều lớp để tránh bị đánh cắp thông tin.
a
  • Thông tin chi tiết xem thêm tại ĐÂY