Bản cập nhật tháng 9 năm 2025 của Microsoft: Các quy tắc Snort và lỗ hổng nghiêm trọng cần chú ý

Bản vá lỗi ngày thứ Ba tháng 9 đã đưa ra phán quyết: Microsoft đã vá 86 lỗ hổng, bao gồm tám lỗ hổng được đánh giá là có khả năng bị khai thác cao. Các nhóm bảo mật hiện đang theo dõi CVE-2025-54916, một lỗi tràn ngăn xếp trong NTFS có khả năng khởi chạy mã từ xa, và CVE-2025-54918, một lỗi leo thang đặc quyền thông qua NTLM. Các quy tắc Snort mới—từ chuỗi 65327 đến 65334 và từ 301310 đến 301313—được điều chỉnh để ngăn chặn các nỗ lực tấn công. Giữa các lỗ hổng SMB zero-day, lỗ hổng Office và cuộc đua vá lỗi, hệ sinh thái Windows đang tăng tốc. Quản trị viên chỉ có vài ngày để phát hành bản vá, tải lại chữ ký Cisco và kiểm tra nhật ký của họ. Quyết định phải được đưa ra nhanh chóng; cơ hội khai thác đang ngày càng ngắn lại. Bản vá lỗi ngày thứ Ba: Các lỗ hổng nghiêm trọng và zero-day được xem xét kỹ lưỡng

Vào những giờ đầu, cộng đồng SOC đã xác định được bốn yếu tố được coi là quan trọng. Mã độc nổi tiếng nhất,

CVE-2025-54916 , nhắm mục tiêu vào NTFS và di chuyển qua mạng mà không cần xác thực mạnh; đây là sự kết hợp hoàn hảo cho ransomware cực nhanh. Ít gây nhiễu hơn nhưng cũng nguy hiểm không kém,CVE-2025-54101 tận dụng cơ chế use-after-free trong SMB v3, một cơn ác mộng mới đối với việc chia sẻ tệp. Bên trong các máy trạm, CVE-2025-54910 biến một tài liệu Office thành một con ngựa thành Troy thông qua lỗi tràn bộ nhớ heap. Tại trung tâm của kernel, hai lỗ hổng DirectX ( CVE-2025-55226và 55236) mở ra cánh cửa cho việc thực thi cục bộ trên các máy trạm đồ họa. Các bản vá bao gồm Windows 10, 11 và tất cả các nhánh máy chủ, bao gồm cả 2025. Thông điệp rất rõ ràng: trì hoãn triển khai đồng nghĩa với việc từ bỏ tuyến đầu. Quy tắc Snort: Cách Cisco tăng cường phát hiện mạng

Đồng thời, danh mục IDS đang được cập nhật. Chữ ký Snort2

65327-65334 và Snort3 301310-301313 đang theo dõi các gói tin bất thường liên quan đến NTFS, SMB và DirectX. Kết quả dương tính giả còn tốt hơn là một shell mở; các nhà phân tích đang điều chỉnh ngưỡng dung sai để tránh làm quá tải SOC. Tại một nhà cung cấp dịch vụ lưu trữ giả mạo ở Lille, 2.000 lưu lượng truy cập đến một máy chủ tệp chưa được vá đã bị cắt giảm trong vòng chưa đầy một giờ. Nhật ký cho thấy sự gia tăng các nỗ lực NTLM được chuyển tiếp từ các IP của Nga, bằng chứng cho thấy các botnet đang quét tìm lỗ hổng mới dù là nhỏ nhất. Trong môi trường sản xuất, quy tắc rất đơn giản: cập nhật SRU trên Tường lửa Cisco, phân phối ngay lập tức đến các cảm biến khu vực và báo cáo tập trung trong Splunk. Để minh họa tính cấp bách, video sau đây phân tích lưu lượng truy cập được ghi lại trên một phòng thí nghiệm Windows 11 dễ bị tấn công. Môi trường Windows, Azure và Office 365: rủi ro thực sự là gì? Bề mặt tấn công không còn giới hạn ở máy trạm cục bộ. Trong Azure, một máy ảo chưa được vá có thể đóng vai trò là điểm phục hồi cho mạng lai. Mặt khác, đăng ký Office 365 lại phơi bày tình trạng tràn bộ nhớ heap Office; Chỉ cần một tệp được chia sẻ trên OneDrive cũng đủ để xâm phạm toàn bộ người dùng. Tại một trang trại RDS lưu trữ các ứng dụng kinh doanh, lỗ hổng DirectX đe dọa các máy chủ đồ họa được sử dụng cho CAD. Các CISO đang tính toán tác động: ngừng sản xuất, mất dữ liệu, sai lệch SLA. Tại Lyon, một nhà phát hành trò chơi điện tử đã đóng băng đường ống xây dựng của mình sau khi một bản vá được áp dụng kém đã chặn quá trình biên dịch trong Visual Studio—thà tạm dừng còn hơn đánh cắp mã nguồn. Thách thức là cân bằng giữa tính khả dụng và tính cấp bách của bảo mật mà không phá vỡ chuỗi CI/CD. Thực hành tốt nhất: Defender, Active Directory, Edge và Exchange

Sau khi các bản vá được cài đặt, bước tiếp theo là liên tục cảnh giác.

Defender phải được chuyển sang chế độ phân phối trên đám mây, với ngưỡng chặn “độ tin cậy cao”. Trong Active DirectoryKiểm tra NTLM v1 được bật để phát hiện bất kỳ nỗ lực đàm phán ngược yếu nào. GPO sau đó yêu cầu NTLM v2 hoặc Kerberos. Về phía máy tính để bàn, Edge nhận kênh 129.3 ổn định để bịt lỗ hổng rò rỉ địa chỉ bộ nhớ trong công cụ JavaScript; tự động cập nhật là đủ, nhưng phải được xác minh bằng tập lệnh PowerShell. Trên

Exchange

2022, việc tắt kết xuất đồ họa máy chủ sẽ ngăn chặn việc khai thác DirectX ở phía backend. Cuối cùng, một runbook khẩn cấp cung cấp khả năng khôi phục từ các ảnh chụp nhanh bất biến trên bộ nhớ SAN để giảm thời gian khôi phục trung bình. Mỗi bước đều có giá trị: 30 phút tiết kiệm thường được tránh khỏi mã hóa. Đoạn clip sau đây cho thấy từng bước cấu hình một khối NTLM thông qua GPO trong vòng chưa đầy hai phút. Để theo dõi diễn biến của các nỗ lực khai thác, đây là nguồn cấp dữ liệu theo thời gian thực từ cộng đồng bảo mật. Nguồn:blog.talosintelligence.com