DevOps VietNam

Lỗ hổng trong tường lửa Windows Defender cho phép kẻ tấn công truy cập dữ liệu nhạy cảm

Microsoft vừa chính thức vá một lỗ hổng bảo mật đáng chú ý trong dịch vụ tường lửa Windows Defender, cho phép kẻ tấn công có đặc quyền truy cập thông tin nhạy cảm nằm trong bộ nhớ hệ thống bị xâm nhập. Lỗ hổng CVE-2025-62468 đã được công bố trong đợt cập nhật bảo mật tháng 12 năm 2025, buộc các quản trị viên phải ưu tiên vá lỗi ngay lập tức để bảo vệ các Windows endpoints.

Lỗ hổng CVE-2025-62468 (điểm CVSS: 7.8) bắt nguồn từ một điểm yếu kỹ thuật được gọi là “Out-of-bounds Read”, được phân loại là CWE-125. Đây là một lỗi hỏng bộ nhớ (memory corruption error) xảy ra khi một chương trình cố gắng đọc dữ liệu ngoài giới hạn bộ đệm được cấp phát.

Trong trường hợp của Windows Defender Firewall Service, lỗi này cho phép dịch vụ đọc các vị trí bộ nhớ lẽ ra phải bị hạn chế. Nếu kẻ tấn công khai thác thành công, họ có thể xem dữ liệu nhạy cảm cư trú trong bộ nhớ process, mà ban đầu không nhằm mục đích cho phép truy cập.

Mặc dù Microsoft xếp hạng mức độ nghiêm trọng với điểm CVSS cơ bản là 4.4, nhưng tác động lên tính bảo mật được đánh giá là High, cho thấy dữ liệu có thể bị rò rỉ là rất đáng kể. May mắn thay, con đường khai thác lỗ hổng này có những hạn chế nhất định làm giảm nguy cơ tấn công tự động lan rộng:

Vector tấn công: Lỗ hổng yêu cầu truy cập local, nghĩa là kẻ tấn công phải đã có quyền truy cập vào máy mục tiêu (vật lý hoặc từ xa).
Đặc quyền cao: Việc khai thác đòi hỏi đặc quyền cao. Điều này ngụ ý rằng kẻ tấn công có thể đã phải thỏa hiệp hệ thống ở một mức độ nào đó hoặc sở hữu thông tin đăng nhập quản trị để kích hoạt lỗ hổng và đọc bộ nhớ được bảo vệ.

Dù vậy, lỗ hổng không yêu cầu tương tác từ phía người dùng, cho phép khai thác chạy ngầm sau khi kẻ tấn công đã thiết lập được quyền truy cập cần thiết.

Các đội bảo mật được khuyến cáo nghiêm túc xem xét lỗ hổng này và áp dụng ngay bản cập nhật bảo mật ngày 9 tháng 12 năm 2025 cho tất cả các Windows endpoints bị ảnh hưởng. Việc đảm bảo dịch vụ Tường lửa Windows Defender được cập nhật là biện pháp bắt buộc để ngăn chặn kẻ tấn công lợi dụng lỗi hỏng bộ nhớ này nhằm thu thập thông tin hệ thống quan trọng.