Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 12

I. Các lỗ hổng bảo mật được công bố trong tháng 12

1. Microsoft 

Microsoft phát hành bản vá Patch Tuesday tháng 12/2025 khắc phục tổng cộng 57 lỗ hổng bảo mật, bao gồm 1 lỗ hổng zero-day đang bị khai thác tích cực và 2 lỗ hổng zero-day đã được công bố công khai.  

Bản cập nhật lần này cũng xử lý 3 lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE) được đánh giá ở mức Nghiêm trọng (Critical).  

Số lượng lỗ hổng theo từng loại chi tiết như sau:  

• 28 lỗ hổng leo thang đặc quyền (Elevation of Privilege)  
• 19 lỗ hổng thực thi mã từ xa (Remote Code Execution)  
• 4 lỗ hổng rò rỉ thông tin (Information Disclosure)  
• 3 lỗ hổng từ chối dịch vụ (Denial of Service)  
• 2 lỗ hổng giả mạo (Spoofing) 

a. Lỗ hổngzero-day đang bị khai thác tích cực  

CVE-2025-62221 - Lỗ hổng leo thang đặc quyền trong Windows Cloud Files Mini Filter Driver  

Một lỗ hổng leo thang đặc quyền (Elevation of Privilege) đang bị khai thác trong thành phần Windows Cloud Files Mini Filter Driver đã được khắc phục. Lỗi use-after-free trong driver này cho phép tác nhân tấn công đã được xác thực thực hiện leo thang đặc quyền cục bộ.  

Việc khai thác thành công lỗ hổng cho phép giành quyền SYSTEM, mức đặc quyền cao nhất trên hệ điều hành Windows.  

b. Các lỗ hổngzero-day đã được công bố công khai  

CVE-2025-64671 - Lỗ hổng thực thi mã trong GitHub Copilot for JetBrains  

Một lỗ hổng đã được công bố công khai trong GitHub Copilot for JetBrains cho phép thực thi lệnh cục bộ. Lỗi phát sinh do xử lý không đúng các phần tử đặc biệt trong lệnh (command injection), cho phép tác nhân tấn công không được ủy quyền thực thi mã cục bộ.  

Lỗ hổng có thể bị khai thác thông qua Cross Prompt Injection trong các tệp không đáng tin cậy hoặc máy chủ MCP. Thông qua Cross Prompt Injection độc hại, các lệnh bổ sung có thể được chèn vào những lệnh đã được cho phép trong cấu hình terminal auto-approve của người dùng.  

CVE-2025-54100 - Lỗ hổng thực thi mã trong PowerShell  

Một lỗ hổng trong Windows PowerShell cho phép thực thi mã cục bộ khi một trang web chứa script nhúng được truy xuất bằng lệnh Invoke-WebRequest. Lỗi thuộc nhóm command injection, cho phép thực thi mã trái phép thông qua việc xử lý không an toàn các phần tử đặc biệt trong lệnh.  

Biện pháp giảm thiểu đã được triển khai bằng cách hiển thị cảnh báo khi sử dụng Invoke-WebRequest và yêu cầu bổ sung tham số -UseBasicParsing nhằm ngăn chặn việc thực thi mã ngoài ý muốn.  

Các bản cập nhật gần đây từ các công ty khác  

• Adobe đã phát hành các bản cập nhật bảo mật cho nhiều sản phẩm, bao gồm ColdFusion, Experience Manager, DNG SDK, Acrobat Reader và Creative Cloud Desktop.  
• Fortinet đã phát hành các bản vá bảo mật cho nhiều sản phẩm, trong đó có một lỗ hổng nghiêm trọng cho phép vượt qua cơ chế xác thực FortiCloud SSO (Authentication Bypass).  
• Google đã công bố bản tin bảo mật Android tháng 12, bao gồm các bản vá cho hai lỗ hổng đang bị khai thác tích cực.  
• Ivanti đã phát hành các bản vá bảo mật trong khuôn khổ Patch Tuesday tháng 12/2025, bao gồm bản vá cho lỗ hổng Stored XSS có điểm CVSS 9.6/10 trong Ivanti Endpoint Manager.  
• React đã phát hành bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa (RCE) ở mức nghiêm trọng trong React Server Components. Lỗ hổng này, được đặt tên là React2Shell, hiện đang bị khai thác rộng rãi trong các cuộc tấn công thực tế.  
• SAP đã phát hành bản cập nhật bảo mật tháng 12 cho nhiều sản phẩm, bao gồm bản vá cho lỗ hổng code injection có điểm CVSS 9.9/10 trong SAP Solution Manager.  

Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 12 năm 2025  

Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.   

2. Linux 

Chi tiết về các lỗ hổng có thể xem tại Advisories. 

II. Một số sự kiện an ninh mạng đáng chú ý

1. Hai tiện ích mở rộngChromebị phát hiện bí mật đánh cắp thông tin đăng nhập từ hơn 170 website  

Các nhà nghiên cứu an ninh mạng đã phát hiện hai tiện ích mở rộng độc hại trên Google Chrome, có cùng tên và do cùng một nhà phát triển phát hành, được thiết kế để chặn lưu lượng mạng và đánh cắp thông tin xác thực người dùng.  

Các tiện ích này được quảng bá là “plugin kiểm tra tốc độ mạng đa vị trí” dành cho lập trình viên và nhân sự thương mại quốc tế.   

Thông tin chi tiết như sau:  

• Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2.000 người dùng (phát hành ngày 26/11/2017)  
• Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 người dùng (phát hành ngày 27/04/2023)  

Cơ chế tấn công và đánh cắp dữ liệu: 

Sau khi người dùng thanh toán, họ được cấp trạng thái VIP và tiện ích tự động kích hoạt chế độ proxy “smarty”, cho phép định tuyến lưu lượng truy cập của hơn 170 domain mục tiêu thông qua hạ tầng C2 của kẻ tấn công.  

Điểm nguy hiểm là các tiện ích này vẫn hoạt động đúng như quảng cáo, nhằm tạo cảm giác hợp pháp khi thực hiện kiểm tra độ trễ (latency) của proxy và hiển thị trạng thái kết nối bình thường. 

Trong khi đó, mục tiêu thực sự của chúng là chặn lưu lượng mạng và đánh cắp thông tin xác thực mà người dùng hoàn toàn không hay biết.  

Hành vi độc hại được triển khai thông qua việc chỉnh sửa mã độc được chèn vào hai thư viện JavaScript đi kèm tiện ích jquery-1.12.2.min.js và scripts.js. 

Đoạn mã này đăng ký một listener trên chrome.webRequest.onAuthRequired để tự động tiêm cặp thông tin xác thực proxy được mã hóa cứng (topfany / 963852wei) vào mọi yêu cầu xác thực HTTP.  

Ba chế độ proxy và danh sách domain nhạy cảm: 

Sau khi xác thực proxy thành công, tiện ích cấu hình Chrome sử dụng Proxy Auto-Configuration (PAC) với ba chế độ:  

• close: Tắt proxy  
• always: Định tuyến toàn bộ lưu lượng web qua proxy  
• smarty: Chỉ định tuyến một danh sách cố định gồm hơn 170 domain giá trị cao  

Danh sách này bao gồm:  

• Nền tảng lập trình: GitHub, Stack Overflow, Docker  
• Dịch vụ đám mây: AWS, DigitalOcean, Microsoft Azure  
• Giải pháp doanh nghiệp: Cisco, IBM, VMware  
• Mạng xã hội: Facebook, Instagram, Twitter  
• Website người lớn  

Đánh cắp dữ liệu liên tục và ở quy mô lớn:  

Hệ quả là toàn bộ lưu lượng web của người dùng bị chuyển qua proxy do kẻ tấn công kiểm soát, trong khi tiện ích duy trì heartbeat 60 giây tới máy chủ C2 tại domain phantomshuttle[.]space (hiện vẫn đang hoạt động).  

Điều này cho phép kẻ tấn công nắm vị trí Man-in-the-Middle, thu thập lưu lượng theo thời gian thực, thao túng phản hồi và chèn payload tùy ý. 

Nghiêm trọng hơn, mỗi 5 phút, tiện ích gửi một HTTP GET request về máy chủ bên ngoài, chứa email người dùng VIP, mật khẩu (dạng plaintext) và phiên bản tiện ích. 

Rủi ro chuỗi cung ứng và khuyến nghị: 

Tiện ích này có khả năng thu thập mật khẩu, số thẻ tín dụng, cookie xác thực, lịch sử duyệt web, dữ liệu form, API key và access token. 

Đặc biệt, việc đánh cắp bí mật của lập trình viên có thể mở đường cho các cuộc tấn công chuỗi cung ứng (supply chain attacks).  

Hiện vẫn chưa xác định được danh tính tác giả đứng sau chiến dịch kéo dài suốt 8 năm này. Tuy nhiên, các dấu hiệu như mô tả tiện ích bằng tiếng Trung, tích hợp thanh toán qua Alipay và WeChat Pay, sử dụng Alibaba Cloud để lưu trữ C2 cho thấy khả năng cao đây là một chiến dịch có nguồn gốc từ Trung Quốc.  

FPT Cloud khuyến nghị người dùng cần gỡ bỏ ngay các tiện ích nêu trên nếu đã cài đặt. Trong khi đó, đội ngũ an ninh nên triển khai allowlist tiện ích mở rộng, giám sát các tiện ích có cơ chế thu phí + quyền proxy và theo dõi lưu lượng mạng bất thường liên quan đến xác thực proxy. 

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.   

Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.     

Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud 

• Fanpage: https://www.facebook.com/fptsmartcloud/ 
• Email: support@fptcloud.com 
• Hotline: 1900 638 399