Bản cập nhật tháng 10 năm 2025: Lỗ hổng trong Dịch vụ cập nhật Windows Server và trình điều khiển modem cũ

Bản vá Thứ Ba tháng 10 năm 2025 là một lời cảnh tỉnh cho các quản trị viên. Hơn 160 lỗ hổng đã được vá, bao gồm một số lỗ hổng nghiêm trọng cần được xử lý ngay lập tức. Trong số đó có một lỗ hổng trong Dịch vụ Cập nhật Windows Server và một lỗ hổng khác trong trình điều khiển modem gần 20 năm tuổi.

Lỗ hổng nghiêm trọng trong Dịch vụ Cập nhật Windows Server (WSUS)

Dịch vụ Cập nhật Windows Server đang gặp phải một lỗ hổng thực thi mã từ xa được đánh giá ở mức 9,8 trên thang điểm CVSS. Đối với các quản trị viên, đây là một dấu hiệu cảnh báo nghiêm trọng: lỗ hổng này có thể xâm phạm toàn bộ cơ sở hạ tầng quản lý bản vá. Chỉ cần một dữ liệu độc hại được gửi đến WSUS cũng có thể kích hoạt quá trình giải tuần tự hóa không an toàn, mở ra cánh cửa dẫn đến quyền kiểm soát hoàn toàn máy chủ. Không cần phải là thiên tài mới có thể hình dung được sự hỗn loạn sẽ ra sao nếu kẻ tấn công chiếm quyền kiểm soát hệ thống triển khai cập nhật trung tâm. Các nhóm quản trị hệ thống cần phải làm nhiều hơn là chỉ vá nhanh chóng. Việc xem xét lại kiến ​​trúc WSUS và phân đoạn quyền truy cập mạng của nó đang trở thành một nhu cầu cấp thiết. Một WSUS bị xâm phạm là cánh cửa rộng mở cho sự lây lan của các bản cập nhật độc hại, Mike Walters của Action1 tiếp tục, đồng thời nhắc nhở chúng ta rằng điều tồi tệ nhất vẫn chưa đến với các cơ sở hạ tầng không được bảo vệ.

Những rủi ro liên quan đến việc duy trì trình điều khiển modem đã hai thập kỷ tuổi

Trình điều khiển Agere Modem ltmdm64.sys, vốn đã bị mắc kẹt trong thời gian dài trên Windows gần 20 năm, vẫn đang gây xôn xao dư luận—và không phải vì những lý do chính đáng. Hai lỗ hổng nghiêm trọng đã được phát hiện, một trong số đó đã bị khai thác trong điều kiện thực tế.

Microsoft đã quyết định loại bỏ trình điều khiển này trong bản cập nhật tháng 10! Đối với các quản trị viên vẫn đang sử dụng phần cứng Agere, đây là một lời cảnh tỉnh đầy khó chịu: thiết bị của họ sẽ không thể sử dụng được nữa.

Thật sự rất đau đầu, đặc biệt khi xét đến việc trình điều khiển cũ này hoạt động với đặc quyền hệ thống cao nhất. Ben McCarthy của Immersive chỉ ra rằng những kẻ tấn công sử dụng lỗ hổng này làm bàn đạp, thường là sau một cuộc xâm nhập ban đầu thông qua lừa đảo hoặc một lỗ hổng truyền thống khác.

Những lỗ hổng trong Microsoft Office và các thành phần Windows khác cần lưu ý. Microsoft cũng không từ bỏ Microsoft Office. Hai lỗ hổng nghiêm trọng cho phép thực thi mã từ xa chỉ bằng cách tương tác với khung xem trước trong Outlook hoặc Word. Không cần mở tệp; một email độc hại là đủ.

Đây là một lời nhắc nhở rõ ràng rằng kỹ thuật xã hội vẫn là công cụ ưa thích của những kẻ tấn công. Sự cảnh giác của người dùng và các bản cập nhật thường xuyên là những lá chắn thiết yếu để tránh rơi vào những cái bẫy này. Trình quản lý Kết nối Truy cập Từ xa Windows (RasMan), thường được vá nhưng hiếm khi bị khai thác tích cực, đã bị khai thác trực tiếp lần đầu tiên sau một thời gian dài. Đây là một dấu hiệu cho thấy tin tặc đang không ngừng khai thác mọi lỗ hổng, ngay cả những lỗ hổng lâu đời nhất. Người dùng Bộ xử lý Bảo mật AMD lo ngại về một lỗ hổng làm tổn hại đến tính toàn vẹn của bộ nhớ trong môi trường đám mây dựa trên AMD. Mặc dù đây chủ yếu là mối lo ngại của các nhà cung cấp dịch vụ đám mây, nhưng các tổ chức nhạy cảm nên theo dõi sát sao để tránh những vấn đề nghiêm trọng.

Windows 10: Chặng đường cập nhật

Các quản trị viên cũng có một cột mốc quan trọng khác cần đánh dấu: việc ngừng hỗ trợ cập nhật bảo mật cho Windows 10 vào ngày 14 tháng 10. Nếu không trả tiền cho các Bản cập nhật Bảo mật Mở rộng, máy tính của họ sẽ vẫn dễ bị tấn công bởi các mối đe dọa mới. Bước này là một phần của quá trình chuyển đổi tất yếu sang Windows 11, hiện đang trở thành nền tảng tiêu chuẩn với các bản vá thường xuyên và quan trọng cần được giám sát chặt chẽ.

Hệ điều hành IGEL và SAP: Những Mục tiêu Khác Không Thể Bỏ Qua

Hệ điều hành IGEL, thường được sử dụng cho cơ sở hạ tầng máy tính để bàn ảo, có một lỗ hổng nghiêm trọng cho phép vượt qua Secure Boot. Lỗ hổng này, được xác thực bằng một bằng chứng khái niệm, đã bị khai thác trong thực tế.

Đây không phải là một cuộc tấn công từ xa, nhưng hãy xem xét trường hợp người dùng chuyển vùng. Được coi là một rủi ro “ác quỷ”, nó có thể mở đường cho việc cài đặt rootkit ở cấp độ kernel. Một quả bom thực sự đối với bảo mật VDI.

Về phía SAP, một lớp bản vá khác tăng cường bảo mật cho Java JVM của họ, đặc biệt là chống lại các cuộc tấn công hủy tuần tự hóa có thể làm tê liệt toàn bộ công ty.

Các Bản vá SAP Cần Được Ưu tiên Áp dụng