Microsoft vá 63 lỗ hổng bảo mật, bao gồm một Zero-Day Windows Kernel đang bị khai thác tích cực

Microsoft hôm thứ Ba đã phát hành các bản vá cho 63 lỗ hổng bảo mật mới được xác định trong phần mềm của họ, bao gồm một lỗ hổng đang bị khai thác tích cực trong thực tế. Trong số 63 lỗ hổng, bốn lỗ hổng được đánh giá là Critical và 59 lỗ hổng được đánh giá là Important về mức độ nghiêm trọng. Hai mươi chín trong số các lỗ hổng này liên quan đến privilege escalation, tiếp theo là 16 lỗ hổng remote code execution, 11 lỗ hổng information disclosure, ba lỗ hổng denial-of-service (DoS), hai lỗ hổng security feature bypass và hai lỗ hổng spoofing.

Microsoft hôm thứ Ba đã phát hành các bản vá cho 63 lỗ hổng bảo mật mới được xác định trong phần mềm của họ, bao gồm một lỗ hổng đang bị khai thác tích cực trong thực tế.

Trong số 63 lỗ hổng, bốn lỗ hổng được đánh giá là Critical và 59 lỗ hổng được đánh giá là Important về mức độ nghiêm trọng. Hai mươi chín trong số các lỗ hổng này liên quan đến privilege escalation, tiếp theo là 16 lỗ hổng remote code execution, 11 lỗ hổng information disclosure, ba lỗ hổng denial-of-service (DoS), hai lỗ hổng security feature bypass và hai lỗ hổng spoofing.

Các bản vá này được bổ sung vào 27 lỗ hổng mà nhà sản xuất Windows đã khắc phục trong trình duyệt Edge dựa trên Chromium của họ kể từ khi bản cập nhật Patch Tuesday tháng 10 năm 2025 được phát hành.

Lỗ hổng zero-day được liệt kê là đang bị khai thác trong bản cập nhật hôm thứ Ba là CVE-2025-62215 (điểm CVSS: 7.0), một lỗ hổng privilege escalation trong Windows Kernel. Microsoft Threat Intelligence Center (MSTIC) và Microsoft Security Response Center (MSRC) đã được ghi nhận vì đã phát hiện và báo cáo vấn đề này.

"Việc thực thi đồng thời sử dụng tài nguyên chia sẻ với đồng bộ hóa không đúng cách ('race condition') trong Windows Kernel cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền cục bộ," công ty cho biết trong một bản tư vấn.

Tuy nhiên, việc khai thác thành công phụ thuộc vào kẻ tấn công đã giành được quyền truy cập vào một hệ thống để thắng một race condition. Khi tiêu chí này được thỏa mãn, nó có thể cho phép kẻ tấn công có được quyền SYSTEM.

"Kẻ tấn công có quyền truy cập cục bộ với đặc quyền thấp có thể chạy một ứng dụng được tạo ra đặc biệt để liên tục cố gắng kích hoạt race condition này," Ben McCarthy, kỹ sư an ninh mạng hàng đầu tại Immersive, cho biết.

"Mục tiêu là khiến nhiều luồng tương tác với một tài nguyên kernel được chia sẻ theo cách không đồng bộ, gây nhầm lẫn cho việc quản lý bộ nhớ của kernel và khiến nó giải phóng cùng một khối bộ nhớ hai lần. 'Double free' thành công này làm hỏng heap của kernel, cho phép kẻ tấn công ghi đè bộ nhớ và chiếm quyền điều khiển luồng thực thi của hệ thống."

Hiện tại vẫn chưa rõ lỗ hổng này đang bị khai thác như thế nào và bởi ai, nhưng nó được đánh giá là một phần của hoạt động post-exploitation để leo thang đặc quyền sau khi giành được quyền truy cập ban đầu thông qua một số phương tiện khác, chẳng hạn như social engineering, phishing hoặc khai thác một lỗ hổng khác, Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, cho biết.

"Khi được kết hợp với các lỗi khác, race condition của kernel này rất quan trọng: một RCE hoặc sandbox escape có thể cung cấp việc thực thi mã cục bộ cần thiết để biến một cuộc tấn công từ xa thành quyền kiểm soát SYSTEM, và một chỗ đứng ban đầu với đặc quyền thấp có thể được leo thang để đánh cắp thông tin đăng nhập và di chuyển ngang," Mike Walters, chủ tịch và đồng sáng lập Action1, cho biết trong một tuyên bố.

Cũng được vá trong các bản cập nhật là hai lỗ hổng heap-based buffer overflow trong Microsoft Graphics Component (CVE-2025-60724, điểm CVSS: 9.8) và Windows Subsystem for Linux GUI (CVE-2025-62220, điểm CVSS: 8.8) có thể dẫn đến remote code execution.

Một lỗ hổng đáng chú ý khác là một lỗ hổng privilege escalation mức độ nghiêm trọng cao trong Windows Kerberos (CVE-2025-60704, điểm CVSS: 7.5) lợi dụng một bước mã hóa bị thiếu để giành quyền administrator. Lỗ hổng này đã được Silverfort đặt tên mã là CheckSum.

"Kẻ tấn công phải tự chèn vào đường dẫn mạng logic giữa mục tiêu và tài nguyên được nạn nhân yêu cầu để đọc hoặc sửa đổi các giao tiếp mạng," Microsoft cho biết. "Một kẻ tấn công trái phép phải chờ người dùng khởi tạo một kết nối."

Các nhà nghiên cứu của Silverfort, Eliran Partush và Dor Segal, những người đã phát hiện ra lỗ hổng này, mô tả nó là một lỗ hổng Kerberos constrained delegation cho phép kẻ tấn công mạo danh người dùng tùy ý và giành quyền kiểm soát toàn bộ domain thông qua một cuộc tấn công adversary-in-the-middle (AitM).

Kẻ tấn công có khả năng khai thác thành công lỗ hổng này có thể leo thang đặc quyền và di chuyển ngang sang các máy khác trong tổ chức. Đáng lo ngại hơn, các tác nhân đe dọa cũng có thể giành được khả năng mạo danh bất kỳ người dùng nào trong công ty, cho phép họ có được quyền truy cập không giới hạn hoặc trở thành một domain administrator.

"Bất kỳ tổ chức nào sử dụng Active Directory, với khả năng Kerberos delegation được bật, đều bị ảnh hưởng," Silverfort cho biết. "Vì Kerberos delegation là một tính năng trong Active Directory, kẻ tấn công yêu cầu quyền truy cập ban đầu vào một môi trường với thông tin đăng nhập bị xâm phạm."