Một lỗ hổng zero-day nghiêm trọng vừa được công bố ảnh hưởng trực tiếp đến hệ điều hành Windows, cho phép tin tặc chiếm quyền điều khiển hệ thống ở mức cao nhất thông qua kỹ thuật Reflective Kerberos Relay Attack – một biến thể hoàn toàn mới của tấn công relay sử dụng giao thức Kerberos. Lỗ hổng này được định danh là CVE-2025-33073 và đã được Microsoft chính thức phát hành bản vá vào ngày 10/6/2025, trong đợt Patch Tuesday tháng 6.
Kỹ thuật tấn công mới được nhóm nghiên cứu RedTeam Pentesting phát hiện vào đầu năm 2025, đánh dấu một bước tiến lớn so với các cuộc tấn công relay cũ vốn dựa trên NTLM. Dù Microsoft đã cố gắng vô hiệu hóa hình thức NTLM reflection từ năm 2008 (MS08-068), cách khai thác lần này lại sử dụng Kerberos, qua đó vượt qua mọi biện pháp phòng vệ trước đó.
Cuộc tấn công khởi đầu bằng authentication coercion – kỹ thuật buộc máy tính Windows xác thực lại với một hệ thống do tin tặc kiểm soát thông qua giao thức SMB. Kẻ tấn công sau đó sử dụng kỹ thuật cho phép tạo tên máy chủ đánh lừa Windows phát hành vé Kerberos ticket.
Hệ quả là máy Windows “hiểu nhầm” rằng nó đang thực hiện xác thực nội bộ (loopback), trong khi thực chất thông tin xác thực đang được chuyển tới một máy chủ bên ngoài do kẻ tấn công điều khiển. Thông qua quá trình này, tin tặc có thể relay vé Kerberos và chiếm được đặc quyền cao nhất trong hệ điều hành Windows.
Lỗ hổng này ảnh hưởng đến hầu hết các phiên bản Windows, từ Windows 10, 11 đến Windows Server từ phiên bản 2019 đến 2025, đặc biệt là các môi trường sử dụng Active Directory. Dù vậy, để khai thác được, hệ thống phải đáp ứng các điều kiện nhất định như cho phép xác thực qua SMB và không bật SMB signing.
Microsoft đã ghi nhận mức độ nghiêm trọng của lỗ hổng và trao thưởng 5.000 USD cho nhóm nghiên cứu sau khi phát hành bản vá. Người dùng được khuyến cáo cập nhật hệ thống ngay để giảm thiểu nguy cơ bị khai thác trong thực tế.
