Cơ quan CISA đang yêu cầu các cơ quan liên bang khắc phục lỗ hổng trong Windows Server WSUS đã bị khai thác trong các cuộc tấn công.

Microsoft vừa phát hành bản vá khẩn cấp cho một lỗ hổng nghiêm trọng ảnh hưởng đến Dịch vụ Cập nhật Máy chủ Windows (WSUS). Lỗ hổng này đang bị khai thác tích cực và có thể cho phép kẻ tấn công thực thi mã từ xa với đặc quyền hệ thống. CISA, cơ quan an ninh mạng Hoa Kỳ, đang yêu cầu các cơ quan liên bang vá lỗ hổng này càng nhanh càng tốt. Việc giám sát máy chủ WSUS có thể rất tốn kém. Lỗ hổng này gây khó hiểu vì nó không yêu cầu đặc quyền hoặc tương tác của người dùng để bị khai thác. Microsoft khuyến nghị cập nhật ngay lập tức, trong khi một số người lại đề xuất tạm thời vô hiệu hóa vai trò WSUS khi không thể áp dụng bản vá ngay lập tức.

Lỗ hổng WSUS: Cánh cửa rộng mở cho kẻ tấn công

Lỗ hổng này, được tham chiếu là CVE-2025-59287, ảnh hưởng đến các máy chủ Windows được cấu hình làm nguồn WSUS cho các máy chủ WSUS khác trên mạng. Điều khó chịu là gì? Nó có thể bị khai thác từ xa ở chế độ “wormable”, nghĩa là cuộc tấn công có thể tự lan truyền nếu gặp phải một hệ thống không được bảo vệ.

Sự đơn giản của cuộc tấn công này khiến ngay cả những người dùng kỳ cựu cũng phải rùng mình. Không cần các thao tác phức tạp hay phiên làm việc mở. Không có gì ngạc nhiên khi CISA đang gióng lên hồi chuông cảnh báo và yêu cầu các cơ quan liên bang Hoa Kỳ nhanh chóng khắc phục sự cố.

Microsoft và các nhà cung cấp bảo mật đang trong tình trạng hoảng loạn tột độ. Một sự việc đáng lo ngại đã xảy ra vào thứ Năm tuần trước khi HawkTrace Security công bố mã bằng chứng khai thác lỗ hổng này. Do đó, Microsoft đã hành động quyết liệt và phát hành bản vá khẩn cấp cho tất cả các phiên bản máy chủ WSUS bị ảnh hưởng. Quản trị viên hệ thống không có thời gian cài đặt bản vá ngay lập tức có thể tạm thời vô hiệu hóa vai trò WSUS. Tuy không lý tưởng, nhưng cần thiết để vá lỗ hổng mà không cần chờ đến thời gian bảo trì.

WSUS bị lộ trên Internet: Một vấn đề thực sự đau đầu

Nhờ giám sát chủ động, Huntress đã phát hiện cùng ngày các cuộc tấn công nhắm vào các máy chủ WSUS với các cổng tiêu chuẩn 8530 và 8531 của chúng được mở ra Internet. Đây không phải là sự trùng hợp ngẫu nhiên: đây là những con đường tấn công ưa thích.

Eye Security sau đó đã xác nhận xu hướng này, quan sát một số trường hợp máy chủ WSUS bị xâm nhập thông qua nhiều lỗ hổng khai thác khác nhau, độc lập với Bằng chứng Khái niệm HawkTrace. Thực sự thì bức tranh không mấy khả quan.

CISA gây áp lực mạnh mẽ lên các Cơ quan Liên bang Hoa Kỳ

Đến ngày 14 tháng 11, hạn chót do BOD 22-01 đặt ra vào năm 2021, các cơ quan liên bang Hoa Kỳ chắc chắn đã áp dụng bản vá. Văn bản không hề khoan nhượng: lỗ hổng được phân loại là “Khả năng khai thác cao hơn” trong danh mục các lỗ hổng bị khai thác của CISA.

Sự nghiêm ngặt này là dễ hiểu: loại lỗ hổng này thường đóng vai trò là điểm xâm nhập cho kẻ tấn công. Việc phân lớp các công cụ như WSUS trên khắp cơ sở hạ tầng liên bang khiến tác động tiềm ẩn trở nên rất lớn. Điều này càng trở nên quan trọng hơn khi số lượng các cuộc tấn công nhắm vào chuỗi cung ứng CNTT ngày càng tăng.

Quản trị viên hệ thống đang phải đối mặt với một thách thức không thể tránh khỏi. Không có chỗ cho sự khôn ngoan. Một câu nói quen thuộc trong ngành là: “Nếu bạn có thể vá, hãy vá”. Nhưng khi bạn phải quản lý hàng trăm máy chủ, việc áp dụng một bản vá quan trọng kịp thời có thể trở thành một thử thách thực sự.

Tuy nhiên, việc để WSUS dễ bị tấn công đang mở ra cánh cửa cho một cơn ác mộng. Với đặc quyền HỆ THỐNG, kẻ tấn công có thể khởi chạy phần mềm tống tiền, đánh cắp dữ liệu hoặc thậm chí xâm phạm toàn bộ chuỗi cập nhật mạng.

Lời khuyên từ một chuyên gia kỳ cựu.

Phương pháp của Google không phải là thứ bạn có thể tùy tiện áp dụng. Biết cách thực hiện sao chép tự động (robocopy) mà không cần mở mắt và áp dụng bản vá là điều tối thiểu. Đừng để những câu chuyện về lỗ hổng bảo mật này làm bạn e ngại. Công việc này rất nghiêm túc. Vì vậy, nếu bạn là quản trị viên, hãy áp dụng bản vá này!

Nguồn: