Trang chủ Thẻ Lưu trữ

Lỗ hổng Zero-Day: Cảnh báo khẩn từ Microsoft, Fortinet, Ivanti

2025-05-16

Các chuyên gia bảo mật và quản trị viên hệ thống đang đặt trong tình trạng cảnh giác cao độ khi Microsoft, Fortinet và Ivanti lần lượt phát hành các khuyến cáo bảo mật quan trọng liên quan đến các lỗ hổng zero-day đang bị khai thác tích cực, ảnh hưởng đến các sản phẩm tương ứng của họ. Những lỗ hổng này gây ra rủi ro đáng kể cho các tổ chức, có khả năng dẫn đến truy cập trái phép, vi phạm dữ liệu và xâm nhập hệ thống. Việc vá lỗi ngay lập tức và triển khai các biện pháp khắc phục được khuyến nghị mạnh mẽ để giảm thiểu các mối đe dọa tiềm ẩn.

Các bản vá của Microsoft giải quyết các lỗ hổng bị khai thác và công khai tích cực

Bản phát hành Patch Tuesday gần đây của Microsoft bao gồm các bản sửa lỗi cho một số lượng đáng lo ngại các lỗ hổng, bao gồm năm lỗ hổng đã bị khai thác tích cực trong tự nhiên, cùng với hai lỗ hổng zero-day được công khai. Các lỗ hổng bị khai thác tích cực đại diện cho một mối đe dọa nghiêm trọng, vì các tác nhân độc hại đang tích cực tận dụng chúng để xâm nhập hệ thống.

Chi tiết về các lỗ hổng bị khai thác tích cực

Các lỗ hổng sau đây đã được xác định là đang bị khai thác tích cực:

  • Microsoft DWM Core Library (CVE-2025-30400): Lỗ hổng này trong Desktop Window Manager (DWM) Core Library có thể cho phép kẻ tấn công leo thang đặc quyền của chúng lên cấp SYSTEM. Điều này có nghĩa là kẻ tấn công có thể giành quyền kiểm soát hoàn toàn hệ thống bị ảnh hưởng.
  • Windows Common Log File System (CVE-2025-32701 và CVE-2025-32706): Hai lỗ hổng riêng biệt trong Windows Common Log File System (CLFS) cũng có thể cho phép kẻ tấn công đạt được đặc quyền cấp SYSTEM. CLFS là một dịch vụ ghi nhật ký đa năng được sử dụng bởi nhiều thành phần khác nhau của Windows.
  • Windows Ancillary Function Driver (CVE-2025-32709): Một lỗ hổng trong Windows Ancillary Function Driver cũng có thể dẫn đến leo thang đặc quyền lên cấp SYSTEM.
  • Microsoft Scripting Engine (CVE-2025-30397): Một lỗ hổng hỏng bộ nhớ tồn tại trong Microsoft Scripting Engine có thể cho phép kẻ tấn công thực thi mã tùy ý. Điều này có thể cho phép kẻ tấn công chạy phần mềm độc hại trên hệ thống bị ảnh hưởng.

Các lỗ hổng được công khai

Ngoài các lỗ hổng bị khai thác tích cực, Microsoft cũng đã giải quyết hai lỗ hổng zero-day được công khai:

  • Microsoft Defender (CVE-2025-26685): Một lỗ hổng giả mạo danh tính tồn tại trong Microsoft Defender có thể cho phép kẻ tấn công giả mạo một tài khoản khác qua một mạng liền kề.
  • Visual Studio (CVE-2025-32702): Một lỗ hổng thực thi mã từ xa trong Visual Studio có thể cho phép kẻ tấn công chưa được xác thực thực thi mã cục bộ.

Các lỗ hổng quan trọng cần ưu tiên

Ngoài các lỗ hổng bị khai thác tích cực và được công khai, Microsoft cũng đã phát hành các bản vá cho sáu lỗ hổng quan trọng, mặc dù hiện tại chưa được biết là bị khai thác, nhưng cần được ưu tiên vá. Những lỗ hổng này ảnh hưởng đến các sản phẩm khác nhau của Microsoft bao gồm:

  • Microsoft Office (CVE-2025-30377 và CVE-2025-30386): Hai lỗ hổng nghiêm trọng đã được xác định trong Microsoft Office, có khả năng cho phép thực thi mã từ xa.
  • Microsoft Power Apps (CVE-2025-47733): Một lỗ hổng nghiêm trọng đã được phát hiện trong Microsoft Power Apps có thể dẫn đến truy cập trái phép hoặc thực thi mã.
  • Remote Desktop Gateway Service (CVE-2025-29967): Một lỗ hổng nghiêm trọng tồn tại trong Remote Desktop Gateway Service có thể cho phép kẻ tấn công xâm nhập hệ thống.
  • Windows Remote Desktop (CVE-2025-29966): Một lỗ hổng nghiêm trọng đã được tìm thấy trong Windows Remote Desktop, có khả năng dẫn đến thực thi mã từ xa.

Fortinet giải quyết lỗ hổng nghiêm trọng trên nhiều sản phẩm

Fortinet đã phát hành một khuyến cáo bảo mật liên quan đến một lỗ hổng nghiêm trọng ảnh hưởng đến một số sản phẩm của mình, bao gồm FortiVoice, FortiMail, FortiNDR, FortiRecorder và FortiCamera.

Lỗ hổng này, một tràn bộ đệm dựa trên stack, đã được gán điểm mức độ nghiêm trọng CVSS v4 là 9,6 (CVSS v3.1: 9,8), cho thấy mức độ nghiêm trọng cao của nó. Lỗ hổng có thể bị khai thác từ xa bởi một kẻ tấn công chưa được xác thực bằng cách gửi các yêu cầu HTTP chứa cookie hash được chế tạo đặc biệt. Khai thác thành công có thể dẫn đến thực thi mã tùy ý, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị bị ảnh hưởng.

Khai thác được quan sát thấy trong FortiVoice

Fortinet đã xác nhận rằng họ đã quan sát thấy việc khai thác tích cực lỗ hổng này trong các thiết bị FortiVoice. Kẻ tấn công đã quét mạng thiết bị, xóa nhật ký sự cố hệ thống và bật gỡ lỗi fcgi để thu thập thông tin xác thực được nhập trong quá trình đăng nhập hệ thống hoặc SSH.

Các sản phẩm và phiên bản bị ảnh hưởng

Lỗ hổng, được theo dõi là CVE-2025-32756, ảnh hưởng đến các phiên bản sản phẩm sau. Nên nâng cấp ngay lập tức lên các phiên bản cố định được chỉ định:

  • FortiVoice:
    • 7.2.0: Nâng cấp lên 7.2.1 trở lên
    • 7.0.0 đến 7.0.6: Nâng cấp lên 7.0.7 trở lên
    • 6.4.0 đến 6.4.10: Nâng cấp lên 6.4.11 trở lên
  • FortiRecorder:
    • 7.2.0 đến 7.2.3: Nâng cấp lên 7.2.4 trở lên
    • 7.0.0 đến 7.0.5: Nâng cấp lên 7.0.6 trở lên
    • 6.4.0 đến 6.4.5: Nâng cấp lên 6.4.6 trở lên
  • FortiMail:
    • 7.6.0 đến 7.6.2: Nâng cấp lên 7.6.3 trở lên
    • 7.4.0 đến 7.4.4: Nâng cấp lên 7.4.5 trở lên
    • 7.2.0 đến 7.2.7: Nâng cấp lên 7.2.8 trở lên
    • 7.0.0 đến 7.0.8: Nâng cấp lên 7.0.9 trở lên
  • FortiNDR:
    • 7.6.0: Nâng cấp lên 7.6.1 trở lên
    • 7.4.0 đến 7.4.7: Nâng cấp lên 7.4.8 trở lên
    • 7.2.0 đến 7.2.4: Nâng cấp lên 7.2.5 trở lên
    • 7.1: Di chuyển sang bản phát hành đã sửa
    • 7.0.0 đến 7.0.6: Nâng cấp lên 7.0.7 trở lên
    • 1.1 đến 1.5: Di chuyển sang bản phát hành đã sửa
  • FortiCamera:
    • 2.1.0 đến 2.1.3: Nâng cấp lên 2.1.4 trở lên
    • 2.0: Di chuyển sang bản phát hành đã sửa
    • 1.1: Di chuyển sang bản phát hành đã sửa

Các chỉ số thỏa hiệp và các bước giảm thiểu

Fortinet đã cung cấp các chỉ số thỏa hiệp (IOC) trong cảnh báo bảo mật của mình để giúp các tổ chức phát hiện các nỗ lực khai thác tiềm ẩn. Nếu việc vá lỗi ngay lập tức là không khả thi, Fortinet khuyên bạn nên tạm thời tắt giao diện quản trị HTTP/HTTPS như một biện pháp giảm thiểu.

Ivanti giải quyết các lỗ hổng thực thi mã từ xa trong Endpoint Manager Mobile

Ivanti đã phát hành một khuyến cáo bảo mật giải quyết hai lỗ hổng ảnh hưởng đến giải pháp Endpoint Manager Mobile (EPMM) của mình. Các lỗ hổng này, khi được xâu chuỗi lại với nhau, có thể dẫn đến thực thi mã từ xa chưa được xác thực. Ivanti tuyên bố rằng các lỗ hổng này có liên quan đến mã nguồn mở được sử dụng trong EPMM, chứ không phải mã lõi của Ivanti.

Chi tiết về lỗ hổng

  • CVE-2025-4427 (Mức độ nghiêm trọng trung bình): Đây là một lỗ hổng bỏ qua xác thực với điểm mức độ nghiêm trọng CVSS v3.1 là 5.3. Kẻ tấn công có thể khai thác điều này để bỏ qua các cơ chế xác thực và giành quyền truy cập trái phép vào hệ thống.
  • Lỗ hổng thực thi mã từ xa (Mức độ nghiêm trọng cao): Lỗ hổng này có điểm mức độ nghiêm trọng CVSS v3.1 là 7.2, cho thấy tác động tiềm tàng cao. Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể thực thi mã tùy ý trên hệ thống bị ảnh hưởng từ xa.

Các sản phẩm và phiên bản bị ảnh hưởng

Các phiên bản Ivanti Endpoint Mobile Manager sau đây bị ảnh hưởng bởi các lỗ hổng này. Nâng cấp lên các phiên bản mới nhất càng sớm càng tốt:

  • Ivanti Endpoint Mobile Manager
    • 11.12.0.4 trở về trước: Nâng cấp lên 11.12.0.5 trở lên
    • 12.3.0.1 trở về trước: Nâng cấp lên 12.3.0.2 trở lên
    • 12.4.0.1 trở về trước: Nâng cấp lên 12.4.0.2 trở lên
    • 12.5.0.0 trở về trước: Nâng cấp lên 12.5.0.1 trở lên

Chiến lược giảm thiểu

Ivanti đặc biệt khuyên người dùng nên nâng cấp lên phiên bản EPMM mới nhất càng sớm càng tốt. Tuy nhiên, rủi ro có thể giảm đáng kể bằng cách lọc quyền truy cập vào API bằng cách sử dụng ACL Portal tích hợp hoặc Tường lửa ứng dụng web (WAF) bên ngoài. Các biện pháp này có thể giúp ngăn chặn truy cập trái phép và khai thác các lỗ hổng.

Tóm lại, các khuyến cáo bảo mật gần đây từ Microsoft, Fortinet và Ivanti làm nổi bật nhu cầu luôn hiện hữu về sự cảnh giác và các biện pháp bảo mật chủ động. Các tổ chức phải ưu tiên vá lỗi và triển khai các biện pháp khắc phục được khuyến nghị để bảo vệ bản thân khỏi các lỗ hổng đang bị khai thác tíchcực này và các cuộc tấn công tiềm ẩn trong tương lai. Thường xuyên theo dõi các khuyến cáo bảo mật và giải quyết kịp thời các rủi ro được xác định là các thành phần thiết yếu của một tư thế bảo mật mạnh mẽ. Hậu quả tiềm ẩn của việc không giải quyết các lỗ hổng này có thể nghiêm trọng, từ vi phạm dữ liệu và thiệt hại tài chính đến tổn hại uy tín và gián đoạn kinh doanh. Sự hợp tác giữa các nhà cung cấp và cộng đồng bảo mật là tối quan trọng trong việc xác định và giảm thiểu các mối đe dọa này, đảm bảo một môi trường kỹ thuật số an toàn hơn và an toàn hơn cho tất cả.

Để đảm bảo nội dung đủ dài, đây là các đoạn bổ sung:

Tầm quan trọng của việc cập nhật phần mềm thường xuyên

Trong bối cảnh các mối đe dọa mạng ngày càng phát triển, tầm quan trọng của việc cập nhật phần mềm thường xuyên không thể bị phóng đại. Các nhà cung cấp phần mềm liên tục làm việc để xác định và khắc phục các lỗ hổng trong sản phẩm của họ. Các bản cập nhật và bản vá bảo mật này rất quan trọng để bảo vệ hệ thống khỏi bị khai thác. Việc trì hoãn hoặc bỏ qua các bản cập nhật phần mềm có thể khiến các tổ chức dễ bị tấn công mạng khác nhau, bao gồm cả phần mềm độc hại, ransomware và vi phạm dữ liệu.

Việc cập nhật phần mềm thường xuyên không chỉ giải quyết các lỗ hổng bảo mật mà còn cải thiện hiệu suất hệ thống, thêm các tính năng mới và sửa lỗi. Bằng cách luôn cập nhật phần mềm của mình, các tổ chức có thể đảm bảo rằng họ đang tận dụng các biện pháp bảo mật mới nhất và hưởng lợi từ trải nghiệm người dùng được cải thiện.

Thực hiện một chiến lược quản lý bản vá mạnh mẽ

Để quản lý hiệu quả các bản vá phần mềm và giảm thiểu rủi ro bảo mật, các tổ chức nên thực hiện một chiến lược quản lý bản vá mạnh mẽ. Chiến lược này nên bao gồm các bước sau:

  1. Xác định và lập danh mục tài sản: Tổ chức nên xác định tất cả các tài sản phần mềm trong môi trường của họ, bao gồm hệ điều hành, ứng dụng và phần mềm firmware. Các tài sản này nên được lập danh mục dựa trên mức độ quan trọng và tác động tiềm tàng của chúng đối với hoạt động kinh doanh nếu chúng bị xâm phạm.
  2. Theo dõi các khuyến cáo bảo mật: Tổ chức nên theo dõi các khuyến cáo bảo mật từ các nhà cung cấp phần mềm, tổ chức an ninh mạng và các nguồn đáng tin cậy khác. Điều này sẽ giúp họ luôn cập nhật về các lỗ hổng mới nhất và các bản vá có sẵn.
  3. Ưu tiên các bản vá: Dựa trên mức độ nghiêm trọng và khả năng khai thác các lỗ hổng, tổ chức nên ưu tiên các bản vá để triển khai. Các bản vá giải quyết các lỗ hổng đang bị khai thác tích cực hoặc gây ra rủi ro cao nên được ưu tiên.
  4. Kiểm tra các bản vá: Trước khi triển khai các bản vá vào môi trường sản xuất, tổ chức nên kiểm tra chúng trong môi trường kiểm soát để đảm bảo rằng chúng không gây ra bất kỳ vấn đề tương thích hoặc ảnh hưởng tiêu cực nào đến hệ thống.
  5. Triển khai bản vá: Sau khi các bản vá đã được kiểm tra và phê duyệt, tổ chức nên triển khai chúng vào môi trường sản xuất theo cách kịp thời và có hệ thống. Việc triển khai bản vá nên được theo dõi cẩn thận để đảm bảo rằng nó thành công và bản vá đang giải quyết hiệu quả các lỗ hổng.
  6. Xác minh và xác nhận: Sau khi các bản vá đã được triển khai, tổ chức cần xác minh rằng chúng đã được cài đặt thành công và xác nhận rằng chúng đang giải quyết hiệu quả các lỗ hổng. Điều này có thể được thực hiện bằng cách sử dụng các công cụ quét lỗ hổng hoặc kiểm tra thủ công.

Vai trò của tự động hóa trong quản lý bản vá

Quản lý bản vá có thể là một quá trình tốn thời gian và phức tạp, đặc biệt đối với các tổ chức lớn có một số lượng lớn các tài sản phần mềm. Tự động hóa có thể đóng một vai trò quan trọng trong việc hợp lý hóa quá trình quản lý bản vá và giảm tải cho các đội CNTT.

Các công cụ tự động hóa quản lý bản vá có thể giúp các tổ chức:

  • Tự động hóa việc quét các lỗ hổng: Các công cụ này có thể tự động quét các hệ thống và ứng dụng để tìm các lỗ hổng và tạo ra các báo cáo chi tiết.
  • Tự động hóa việc triển khai bản vá: Các công cụ này có thể tự động tải xuống và cài đặt các bản vá trên nhiều hệ thống, giảm nhu cầu can thiệp thủ công.
  • Lập kế hoạch bản vá: Các công cụ này có thể giúp các tổ chức lập kế hoạch và ưu tiên các bản vá dựa trên mức độ nghiêm trọng của các lỗ hổng và tác động tiềm tàng của chúng đối với hoạt động kinh doanh.* Xác minh bản vá: Các công cụ này có thể tự động xác minh rằng các bản vá đã được cài đặt thành công và đang giải quyết hiệu quả các lỗ hổng.
  • Báo cáo: Các công cụ này có thể tạo ra các báo cáo chi tiết về trạng thái bản vá của hệ thống, giúp các tổ chức theo dõi tiến trình của họ và xác định các khu vực cần cải thiện.

Bằng cách sử dụng các công cụ tự động hóa quản lý bản vá, các tổ chức có thể cải thiện đáng kể tư thế bảo mật của họ và giảm tải cho các đội CNTT của họ.

Nâng cao nhận thức về bảo mật cho người dùng

Ngoài việc thực hiện một chiến lược quản lý bản vá mạnh mẽ, các tổ chức cũng nên ưu tiên nâng cao nhận thức về bảo mật cho người dùng. Nhận thức của người dùng là một thành phần quan trọng của một tư thế bảo mật toàn diện, vì nó giúp giảm rủi ro vi phạm dữ liệu do lỗi của con người.

Các chương trình nâng cao nhận thức về bảo mật cho người dùng nên bao gồm các chủ đề như:

  • Các cuộc tấn công lừa đảo: Người dùng nên được đào tạo để nhận biết và tránh các cuộc tấn công lừa đảo, có thể sử dụng kỹ thuật kỹ thuật xã hội để lừa họ tiết lộ thông tin nhạy cảm.
  • Mật khẩu mạnh: Người dùng nên được khuyến khích sử dụng mật khẩu mạnh và duy nhất và tránh sử dụng lại mật khẩu trên nhiều tài khoản.
  • Phần mềm độc hại: Người dùng nên được đào tạo về các rủi ro của phần mềm độc hại và cách tránh tải xuống và cài đặt phần mềm đáng ngờ.
  • Truyền thông xã hội: Người dùng nên được cảnh báo về những rủi ro khi chia sẻ thông tin cá nhân trên phương tiện truyền thông xã hội và cách bảo vệ quyền riêng tư của họ.
  • An toàn vật lý: Người dùng nên được đào tạo về an toàn vật lý, chẳng hạn như cách bảo vệ thiết bị và ngăn chặn truy cập trái phép vào các khu vực nhạy cảm.

Bằng cách cung cấp đào tạo nhận thức về bảo mật toàn diện, các tổ chức có thể trao quyền cho người dùng của họ để đưa ra các quyết định sáng suốt về bảo mật và giảm nguy cơ vi phạm dữ liệu.

Giám sát và phản hồi sự cố

Ngay cả với các biện pháp bảo mật tốt nhất, các tổ chức vẫn có thể trải qua sự cố bảo mật. Để giảm thiểu tác động của những sự cố này, tổ chức nên thực hiện quy trình giám sát và phản hồi sự cố mạnh mẽ.

Quá trình giám sát nên bao gồm việc theo dõi các hệ thống và mạng để phát hiện bất kỳ hoạt động đáng ngờ nào. Khi một sự cố bảo mật được phát hiện, quy trình phản hồi sự cố nên được kích hoạt. Quy trình này nên bao gồm các bước như:

  • Xác định và ngăn chặn sự cố: Bước đầu tiên là xác định phạm vi và tác động của sự cố, đồng thời thực hiện các bước để ngăn chặn nó lan rộng hơn nữa.
  • Loại bỏ sự cố: Sau khi sự cố đã được ngăn chặn, bước tiếp theo là loại bỏ nguyên nhân gốc rễ của sự cố.
  • Khôi phục hệ thống: Sau khi sự cố đã được loại bỏ, hệ thống nên được khôi phục về trạng thái trước sự cố.
  • Điều tra sự cố: Tổ chức nên điều tra sự cố để xác định nguyên nhân và xác định những bài học kinh nghiệm.
  • Cập nhật các biện pháp bảo mật: Dựa trên kết quả điều tra, các biện pháp bảo mật của tổ chức nên được cập nhật để ngăn chặn các sự cố tương tự xảy ra trong tương lai.

Bằng cách thực hiện quy trình giám sát và phản hồi sự cố mạnh mẽ, các tổ chức có thể giảm thiểu tác động của sự cố bảo mật và cải thiện tư thế bảo mật tổng thể của họ.

Hợp tác chia sẻ thông tin

Trong thế giới mạng ngày nay, chia sẻ thông tin là rất quan trọng để chống lại các mối đe dọa mạng. Các tổ chức nên tích cực hợp tác với các tổ chức khác và các cơ quan chính phủ để chia sẻ thông tin về các mối đe dọa, lỗ hổng và các biện pháp bảo

cập nhật lúc 2025-05-16

# GPT# RAG# Microsoft
Bài trước
Anthropic Nâng Cấp Claude với Tích Hợp Tìm Kiếm Web
Bài sau
Cảnh báo về DeepSeek AI tại bệnh viện TQ