Vào thứ Ba, Microsoft đã phát hành các bản sửa lỗi cho tổng cộng 183 lỗ hổng bảo mật trải dài trên các sản phẩm của hãng, bao gồm ba lỗ hổng đã bị khai thác tích cực trong thực tế, đồng thời gã khổng lồ công nghệ cũng chính thức kết thúc hỗ trợ cho hệ điều hành Windows 10, trừ khi các máy tính được đăng ký chương trình Extended Security Updates (ESU).
Trong số 183 lỗ hổng, tám lỗ hổng không phải là các CVE do Microsoft phát hành. Có tới 165 lỗ hổng được đánh giá ở mức độ nghiêm trọng Important, tiếp theo là 17 lỗ hổng Critical và một lỗ hổng Moderate. Phần lớn trong số đó liên quan đến các lỗ hổng elevation of privilege (84), cùng với remote code execution (33), information disclosure (28), spoofing (14), denial-of-service (11) và security feature bypass (11) chiếm phần còn lại.
Các bản cập nhật này bổ sung cho 25 lỗ hổng mà Microsoft đã khắc phục trong trình duyệt Edge dựa trên Chromium của mình kể từ khi phát hành bản cập nhật Patch Tuesday tháng 9 năm 2025.
Hai lỗ hổng Zero-Day của Windows bị khai thác tích cực
Hai lỗ hổng zero-day của Windows đã bị khai thác tích cực trong thực tế là:
- CVE-2025-24990 (CVSS score: 7.8) - Lỗ hổng Elevation of Privilege trong Windows Agere Modem Driver ("ltmdm64.sys")
- CVE-2025-59230 (CVSS score: 7.8) - Lỗ hổng Elevation of Privilege trong Windows Remote Access Connection Manager (RasMan)
Microsoft cho biết cả hai vấn đề này đều có thể cho phép kẻ tấn công thực thi mã với các đặc quyền nâng cao, mặc dù hiện tại chưa có dấu hiệu nào về cách chúng đang bị khai thác và mức độ phổ biến của những nỗ lực này. Đối với CVE-2025-24990, công ty cho biết họ đang có kế hoạch loại bỏ hoàn toàn driver, thay vì phát hành bản vá cho một thành phần của bên thứ ba đã lỗi thời.
Lỗi bảo mật này đã được Alex Vovk, CEO và đồng sáng lập của Action1, mô tả là "nguy hiểm", vì nó bắt nguồn từ mã kế thừa được cài đặt mặc định trên tất cả các hệ thống Windows, bất kể phần cứng liên quan có mặt hay đang được sử dụng hay không.
"Trình điều khiển dễ bị tổn thương được cài đặt sẵn trên mọi phiên bản Windows, bao gồm cả Server 2025. Có thể modem fax của bạn sử dụng chipset khác, và do đó bạn không cần trình điều khiển Agere? Có lẽ bạn chỉ đơn giản là đã phát hiện ra email? Thật không may. Máy tính của bạn vẫn dễ bị tổn thương, và một kẻ tấn công cục bộ với tài khoản có đặc quyền tối thiểu có thể nâng đặc quyền lên cấp administrator."
Theo Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, CVE-2025-59230 là lỗ hổng đầu tiên trong RasMan bị khai thác như một zero-day. Microsoft đã vá hơn 20 lỗ hổng trong thành phần này kể từ tháng 1 năm 2022.
Lỗ hổng thứ ba đã bị khai thác trong các cuộc tấn công thực tế liên quan đến trường hợp Secure Boot bypass trong IGEL OS trước phiên bản 11 (CVE-2025-47827, CVSS score: 4.6). Chi tiết về lỗ hổng này lần đầu tiên được công khai bởi nhà nghiên cứu bảo mật Zack Didcott vào tháng 6 năm 2025.
"Tác động của một Secure Boot bypass có thể rất đáng kể, vì các threat actors có thể triển khai một rootkit cấp kernel, giành quyền truy cập vào chính IGEL OS và sau đó can thiệp vào Virtual Desktops, bao gồm cả việc thu thập credentials."
"Cần lưu ý rằng đây không phải là một cuộc tấn công từ xa, và thường yêu cầu quyền truy cập vật lý để khai thác loại lỗ hổng này, có nghĩa là các cuộc tấn công theo kiểu 'evil-maid' là vector có khả năng nhất ảnh hưởng đến những nhân viên thường xuyên đi lại."
Tất cả ba vấn đề này sau đó đã được bổ sung vào danh mục Known Exploited Vulnerabilities (KEV) của U.S. Cybersecurity and Infrastructure Security Agency (CISA), yêu cầu các cơ quan liên bang phải áp dụng các bản vá trước ngày 4 tháng 11 năm 2025.
Các lỗ hổng quan trọng khác
Một số lỗ hổng critical đáng chú ý khác bao gồm một lỗi remote code execution (RCE) (CVE-2025-59287, CVSS score: 9.8) trong Windows Server Update Service (WSUS), một lỗ hổng out-of-bounds read trong hàm trợ giúp CryptHmacSign của Trusted Computing Group (TCG) TPM2.0 reference implementation (CVE-2025-2884, CVSS score: 5.3), và một RCE trong Windows URL Parsing (CVE-2025-59295, 8.8).
"Kẻ tấn công có thể tận dụng điều này bằng cách xây dựng cẩn thận một URL độc hại. Dữ liệu tràn có thể được thiết kế để ghi đè dữ liệu chương trình quan trọng, chẳng hạn như một con trỏ hàm hoặc con trỏ bảng hàm ảo (vtable) của một đối tượng."
"Khi ứng dụng sau đó cố gắng sử dụng con trỏ bị hỏng này, thay vì gọi một hàm hợp lệ, nó sẽ chuyển hướng luồng thực thi của chương trình đến một địa chỉ bộ nhớ do kẻ tấn công kiểm soát. Điều này cho phép kẻ tấn công thực thi mã tùy ý (shellcode) trên hệ thống mục tiêu."
Hai lỗ hổng với CVSS score cao nhất trong bản cập nhật tháng này liên quan đến một lỗ hổng privilege escalation trong Microsoft Graphics Component (CVE-2025-49708, CVSS score: 9.9) và một security feature bypass trong ASP.NET (CVE-2025-55315, CVSS score: 9.9).
Mặc dù việc khai thác CVE-2025-55315 yêu cầu kẻ tấn công phải được xác thực trước, nhưng nó có thể bị lạm dụng để lén lút vượt qua các biện pháp kiểm soát bảo mật và thực hiện các hành động độc hại bằng cách giả mạo một yêu cầu HTTP độc hại thứ hai trong phần thân của yêu cầu xác thực ban đầu.
"Một tổ chức phải ưu tiên vá lỗ hổng này vì nó làm mất hiệu lực lời hứa bảo mật cốt lõi của ảo hóa," McCarthy giải thích về CVE-2025-49708, mô tả nó là một lỗ hổng tác động cao dẫn đến thoát hoàn toàn máy ảo (VM escape).
"Một cuộc khai thác thành công có nghĩa là một kẻ tấn công, ngay cả khi chỉ có quyền truy cập đặc quyền thấp vào một VM khách duy nhất, không quan trọng, cũng có thể thoát ra và thực thi mã với đặc quyền SYSTEM trực tiếp trên máy chủ lưu trữ bên dưới. Sự thất bại trong việc cô lập này có nghĩa là kẻ tấn công sau đó có thể truy cập, thao tác hoặc phá hủy dữ liệu trên mọi VM khác đang chạy trên cùng máy chủ đó, bao gồm các domain controllers, cơ sở dữ liệu hoặc ứng dụng sản xuất quan trọng."
