3 lỗ hổng Zero-Day đang được khai thác tích cực đã được vá trong bản cập nhật bảo mật mới nhất của Microsoft

Microsoft đã khởi động năm 2025 với một bộ bản vá mới cho tổng cộng 161 lỗ hổng bảo mật trên toàn bộ danh mục phần mềm của mình, bao gồm ba lỗ hổng zero-day đã bị khai thác tích cực trong các cuộc tấn công.

Trong số 161 lỗ hổng, 11 lỗ hổng được đánh giá là Nghiêm trọng và 149 lỗ hổng được đánh giá là Quan trọng về mức độ nghiêm trọng. Một lỗ hổng khác, một CVE không phải của Microsoft liên quan đến việc bỏ qua Windows Secure Boot (CVE-2024-7344, điểm CVSS: 6,7), chưa được chỉ định mức độ nghiêm trọng nào. Theo Sáng kiến ​​Zero Day, bản cập nhật đánh dấu số lượng CVE lớn nhất được giải quyết trong một tháng kể từ ít nhất năm 2017.

Các bản sửa lỗi này bổ sung cho bảy lỗ hổng mà nhà sản xuất Windows đã giải quyết trong trình duyệt Edge dựa trên Chromium của mình kể từ khi phát hành bản cập nhật Patch Tuesday tháng 12 năm 2024.

Nổi bật trong số các bản vá do Microsoft phát hành là bộ ba lỗ hổng trong Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334 và CVE-2025-21335, điểm CVSS: 7,8) mà công ty cho biết đã bị khai thác tích cực trong thực tế.

"Kẻ tấn công khai thác thành công lỗ hổng này có thể giành được đặc quyền HỆ THỐNG", công ty cho biết trong một khuyến cáo về ba lỗ hổng.

Theo thông lệ, hiện tại vẫn chưa biết những thiếu sót này đang bị khai thác như thế nào và trong bối cảnh nào. Microsoft cũng không đề cập đến danh tính của những kẻ tấn công lợi dụng chúng hoặc quy mô của các cuộc tấn công.

Nhưng vì chúng là lỗi leo thang đặc quyền nên rất có thể chúng được sử dụng như một phần của hoạt động sau khi xâm phạm, khi kẻ tấn công đã có được quyền truy cập vào hệ thống mục tiêu bằng một số phương tiện khác, Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, chỉ ra.

"Nhà cung cấp dịch vụ ảo hóa (VSP) nằm trong phân vùng gốc của phiên bản Hyper-V và cung cấp hỗ trợ thiết bị tổng hợp cho các phân vùng con qua Bus máy ảo (VMBus): đó là nền tảng cho cách Hyper-V cho phép phân vùng con tự đánh lừa mình rằng đó là máy tính thực", kỹ sư phần mềm hàng đầu của Rapid7, Adam Barnett, nói với The Hacker News.

"Do toàn bộ vấn đề là ranh giới bảo mật, nên có lẽ đáng ngạc nhiên khi Microsoft chưa thừa nhận bất kỳ lỗ hổng VSP tích hợp hạt nhân NT Hyper-V nào cho đến hôm nay, nhưng sẽ không có gì đáng ngạc nhiên nếu có thêm nhiều lỗ hổng nữa xuất hiện".

Việc khai thác Windows Hyper-V NT Kernel Integration VSP cũng đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) thêm chúng vào danh mục Lỗ hổng đã khai thác đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng các bản sửa lỗi trước ngày 4 tháng 2 năm 2025.

Riêng biệt, Redmond đã cảnh báo rằng năm trong số các lỗi đã được công khai -

CVE-2025-21186, CVE-2025-21366, CVE-2025-21395 (Điểm CVSS: 7,8) - Lỗ hổng thực thi mã từ xa của Microsoft Access

CVE-2025-21275 (Điểm CVSS: 7,8) - Lỗ hổng nâng cao đặc quyền của Windows App Package Installer

CVE-2025-21308 (Điểm CVSS: 6,5) - Lỗ hổng giả mạo chủ đề Windows

Cần lưu ý rằng CVE-2025-21308, có thể dẫn đến việc tiết lộ không đúng hàm băm NTLM, trước đây đã được 0patch đánh dấu là một cách bỏ qua CVE-2024-38030. Các bản vá nhỏ cho lỗ hổng đã được phát hành vào tháng 10 năm 2024.

Mặt khác, cả ba sự cố Microsoft Access đều được ghi nhận là do Unpatched.ai, một nền tảng phát hiện lỗ hổng do AI hướng dẫn. Action1 cũng lưu ý rằng mặc dù các lỗ hổng được phân loại là lỗ hổng thực thi mã từ xa (RCE), nhưng việc khai thác đòi hỏi kẻ tấn công phải thuyết phục người dùng mở một tệp được tạo đặc biệt.

Bản cập nhật cũng đáng chú ý vì đã đóng năm lỗ hổng nghiêm trọng -

CVE-2025-21294 (Điểm CVSS: 8.1) - Lỗ hổng thực thi mã từ xa Microsoft Digest Authentication

CVE-2025-21295 (Điểm CVSS: 8.1) - Lỗ hổng thực thi mã từ xa của Cơ chế bảo mật SPNEGO Extended negotiation (NEGOEX)

CVE-2025-21298 (Điểm CVSS: 9.8) - Lỗ hổng thực thi mã từ xa Windows Object Linking and Embedding (OLE)

CVE-2025-21307 (Điểm CVSS: 9.8) - Lỗ hổng thực thi mã từ xa Windows Reliable Multicast Transport Driver (RMCAST)

CVE-2025-21311 (Điểm CVSS: 9.8) - Lỗ hổng nâng cao đặc quyền Windows NTLM V1