Vừa qua, Microsoft đã phát hành bản vá bảo mật định kỳ Patch Tuesday nhằm khắc phục 78 lỗ hổng bảo mật trên nhiều sản phẩm khác nhau, trong đó có 5 lỗ hổng zero-day đang bị khai thác tích cực ngoài thực tế. Các lỗ hổng được vá bao gồm 11 lỗ hổng được đánh giá Nghiêm trọng, 66 lỗ hổng được đánh giá Quan trọng và 1 lỗ hổng được đánh giá Thấp.
Đáng chú ý, lỗ hổng CVE-2025-29813, với điểm CVSS 10.0, lỗ hổng leo thang đặc quyền nghiêm trọng trong Azure DevOps Server. Kẻ tấn công không cần xác thực có thể khai thác lỗi này qua mạng để nâng quyền và kiểm soát hệ thống. Microsoft cho biết vấn đề này đã được khắc phục trên môi trường cloud, và khách hàng sử dụng Azure DevOps Services không cần thực hiện hành động nào thêm.
5 lỗ hổng zero-day đang bị khai thác tích cực ngoài thực tế bao gồm:
-
CVE-2025-30397 (CVSS 7.5) – Lỗ hổng tràn bộ nhớ đệm trong Microsoft Scripting Engine
-
CVE-2025-30400 (CVSS 7.8) – Lỗ hổng leo thang đặc quyền trong DWM Core Library
-
CVE-2025-32701 (CVSS 7.8) – Lỗ hổng leo thang đặc quyền trong Windows CLFS Driver
-
CVE-2025-32706 (CVSS 7.8) – Lỗ hổng leo thang đặc quyền trong Windows CLFS Driver
-
CVE-2025-32709 (CVSS 7.8) – Lỗ hổng leo thang đặc quyền trong WinSock Ancillary Function Driver
Các lỗ hổng này được Microsoft, Google Threat Intelligence Group, CrowdStrike và các nhà nghiên cứu độc lập phát hiện và cảnh báo. Đặc biệt, lỗ hổng trong Microsoft Scripting Engine (CVE-2025-30397) có thể bị khai thác thông qua trang web độc hại để thực thi mã tùy ý trong ngữ cảnh người dùng, từ đó chiếm quyền kiểm soát hệ thống nếu người dùng có quyền quản trị.
Lỗ hổng CVE-2025-30400 là lỗ hổng DWM Core Library thứ ba bị khai thác kể từ năm 2023, tiếp nối các chiến dịch liên quan đến mã độc như QakBot. Hai lỗ hổng khác trong thành phần CLFS (CVE-2025-32701, CVE-2025-32706) cũng đánh dấu lần thứ 7 và 8 các lỗi trong module này bị phát hiện và khai thác.
Trước mức độ nghiêm trọng, CISA đã đưa cả 5 lỗ hổng zero-day vào danh mục KEV (Known Exploited Vulnerabilities) và yêu cầu các cơ quan phải cập nhật bản vá trước ngày 3/6/2025.
