Cơ quan CISA vừa cập nhật cảnh báo khẩn cấp về việc khai thác tích cực lỗ hổng thực thi mã từ xa trong dịch vụ cập nhật Windows Server (WSUS). Lỗ hổng này cho phép hacker không cần xác thực chiếm toàn quyền kiểm soát máy chủ, và Microsoft đã phải phát hành bản vá ngoài luồng để khắc phục.

Lỗ hổng CVE-2025-59287 ảnh hưởng đến hàng loạt phiên bản Windows Server (bao gồm 2012, 2016, 2019, 2022 và 2025). Lỗ hổng này xuất hiện sau khi một bản vá trước đó không thể giải quyết triệt để vấn đề bảo mật, khiến các hệ thống vẫn trong tình trạng bị phơi bày.

Mức độ nghiêm trọng của lỗ hổng này là rất cao. Hacker không cần xác thực có thể lợi dụng nó để thực thi mã từ xa (RCE) với đặc quyền system-level, đồng nghĩa với việc chiếm toàn quyền kiểm soát máy chủ WSUS. CISA đã xác nhận lỗ hổng này đang bị khai thác tích cực “in the wild” và đã thêm nó vào Danh mục Lỗ hổng Đang bị Khai thác (KEV) vào ngày 24/10.

CISA đặc biệt kêu gọi các tổ chức hành động ngay lập tức. Bước đầu tiên là xác định các máy chủ dễ bị tấn công bằng cách kiểm tra xem WSUS Server Role có được bật hay không và liệu các cổng TCP 8530 hoặc TCP 8531 có đang mở hay không. Quản trị viên phải áp dụng bản vá bảo mật ngoài luồng do Microsoft phát hành vào ngày 23/10 và yêu cầu reboot để hoàn tất việc vá lỗi.

Đối với các tổ chức không thể triển khai bản vá ngay lập tức, CISA khuyến nghị tạm thời tắt WSUS Server Role hoặc chặn lưu lượng truy cập đến các cổng listener mặc định của WSUS.

Ngoài việc vá lỗi, các đội ngũ bảo mật nên chủ động giám sát các dấu hiệu xâm nhập. Cần giám sát các tiến trình con đáng ngờ được sinh ra từ wsusservice.exe hoặc w3wp.exe (mặc dù chúng cũng có thể là hoạt động hợp lệ). Đặc biệt, cần cảnh giác với các tiến trình PowerShell lồng nhau sử dụng các lệnh được mã hóa base64, một kỹ thuật phổ biến để che giấu mã độc.