DevOps VietNam

Lỗ hổng 0-Day RCE nghiêm trọng trong Windows PowerShell

Microsoft vừa công bố một lỗ hổng thực thi mã từ xa nghiêm trọng trong Windows PowerShell, được định danh là CVE-2025-54100, có khả năng cho phép kẻ tấn công thực thi mã tùy ý và giành đặc quyền nâng cao trên các hệ thống Windows bị ảnh hưởng.Mặc dù lỗ hổng này yêu cầu tương tác của người dùng và truy cập local, nó tạo ra rủi ro đáng kể cho các tổ chức sử dụng PowerShell để quản trị hệ thống và tự động hóa, đồng thời là một vũ khí nguy hiểm để thoát khỏi sandboxes trong các cuộc tấn công có chủ đích.

Lỗ hổng CVE-2025-54100 có điểm CVSS tối đa là 7.8 và được Microsoft xếp vào mức độ nghiêm trọng Important. Vấn đề phát sinh từ việc PowerShell xử lý không đúng cách các yếu tố đặc biệt được sử dụng trong cơ chế thực thi lệnh. Lỗi này cho phép kẻ tấn công tiêm nhiễm các lệnh độc hại, vượt qua các kiểm soát bảo mật thông thường.

Nếu khai thác thành công, kẻ tấn công có thể giành được đặc quyền nâng cao và thực thi mã tùy ý. Đây là mối đe dọa đặc biệt cao đối với các doanh nghiệp, vì lỗ hổng có thể được xâu chuỗi với các khai thác khác để tấn công hoặc xâm phạm dữ liệu nhạy cảm.

Mặc dù được phân loại là RCE, lỗ hổng này có những hạn chế về điều kiện khai thác: nó yêu cầu truy cập local và tương tác người dùng. Điều này có nghĩa là nạn nhân phải bị lừa để thực thi lệnh hoặc script PowerShell độc hại.

Tuy nhiên, giới chuyên gia bảo mật cảnh báo rằng điều kiện này không làm giảm đáng kể nguy cơ thực tế. Lỗ hổng có thể dễ dàng bị lạm dụng trong các hoạt động phishing emails với tệp đính kèm độc hại, watering-hole attacks, hoặc các cuộc tấn công supply-chain. Đặc biệt, nó là công cụ lý tưởng cho các tác giả mã độc muốn thoát khỏi sandboxes hoặc đạt được thực thi mã trong các hệ thống đã bị thỏa hiệp một phần.

Hiện tại, Microsoft chưa phát hành thông tin vá lỗi chính thức, nhưng các tổ chức được khuyến cáo theo dõi sát sao các bản tin bảo mật. Trong khi chờ đợi bản vá, các đội bảo mật cần áp dụng ngay các biện pháp phòng thủ chủ động:

Giới hạn Đặc quyền: Áp dụng nguyên tắc đặc quyền tối thiểu cho việc thực thi PowerShell.
Kiểm soát Thực thi: Hạn chế PowerShell execution policies và tắt các script không cần thiết để giảm thiểu bề mặt tấn công.
Giám sát Chủ động: Tăng cường giám sát hoạt động command-line tìm kiếm các hành vi đáng ngờ và triển khai các quy tắc phát hiện nhắm mục tiêu vào các nỗ lực tiêm nhiễm PowerShell.

Các đội threat intelligence cần chuẩn bị quy trình ứng phó sự cố và theo dõi các diễn đàn dark web để phát hiện sớm mã khai thác hoặc proof-of-concept.