Lỗ hổng bảo mật Microsoft IIS: Kẻ xâm nhập trái phép có thể thực thi mã từ xa

Một lỗ hổng nghiêm trọng ảnh hưởng đến Dịch vụ Thông tin Internet (IIS) của Microsoft, mở đường cho việc thực thi mã từ xa. Tin tặc có thể khai thác lỗ hổng trong việc xử lý các đối tượng COM tích hợp, gây ra những rủi ro lớn. Quản trị viên hệ thống nên phản ứng nhanh chóng, vì lỗ hổng này không hề nhỏ!

Tìm hiểu về lỗ hổng nghiêm trọng trong IIS và cách thức hoạt động của nó

Lỗ hổng này, được xác định là CVE-2025-59282, khai thác lỗi đồng bộ hóa trong các thành phần IIS. Cụ thể hơn, sự cạnh tranh giữa các tiến trình gây ra tình trạng giải phóng bộ nhớ sớm, được gọi là điều kiện cạnh tranh theo sau là sử dụng sau khi giải phóng. Kết quả là gì? Kẻ tấn công có thể khởi chạy một tệp độc hại và nếu đúng thời điểm, sẽ kích hoạt thực thi mã với các đặc quyền hệ thống được nâng cao.

Đây không phải là một cuộc tấn công từ xa thông thường được ưa chuộng bởi các tập lệnh tự động. Nó đòi hỏi thao tác cục bộ và tương tác của người dùng để tải thành phần độc hại này. Mức độ khó vẫn còn cao, nhưng điều đó không có nghĩa là bạn không nên cảnh giác!

Chi tiết kỹ thuật làm sáng tỏ lỗ hổng IIS:

Lỗi nằm ở các đối tượng COM được IIS sử dụng nội bộ. Các đối tượng này chia sẻ một bộ nhớ toàn cục, nhưng không có sự đồng bộ hóa chặt chẽ. Kết quả là, một luồng có thể giải phóng bộ nhớ này trong khi luồng khác vẫn đang sử dụng nó, tạo ra một lỗ hổng nghiêm trọng.

Kẻ tấn công tạo một tệp đặc biệt và cho phép người dùng cục bộ mở tệp đó. Nếu mã độc thành công, nó sẽ cho phép thực thi mà không cần sự cho phép trước, với hậu quả có thể gây ra thảm họa cho máy chủ.

Loại lỗ hổng này là một lời nhắc nhở về lý do tại sao quản lý bộ nhớ không phải là điều nên xem nhẹ trong lập trình cấp thấp. Một lỗi nhỏ nhất cũng có thể khiến toàn bộ hệ thống sụp đổ.

Ai bị ảnh hưởng và làm thế nào bạn có thể tự bảo vệ mình hiệu quả?

Tất cả các phiên bản Windows Server được hỗ trợ với IIS đều bị ảnh hưởng. May mắn thay, các môi trường không bật IIS thì không bị ảnh hưởng. Nhưng trong một thế giới mà IIS vẫn là nền tảng của cơ sở hạ tầng web Microsoft, đây không phải là vấn đề nhỏ.

Trong ngắn hạn, việc vô hiệu hóa hỗ trợ cho các đối tượng COM cũ sẽ hạn chế khả năng bị tấn công. Hơn nữa, việc sử dụng danh sách trắng ứng dụng sẽ ngăn chặn việc thực thi các tệp không đáng tin cậy. Đây là những biện pháp bổ sung trong khi chờ bản vá chính thức.

Bản vá Microsoft: Bản sửa lỗi thiết yếu được phát hành vào tháng 10 năm 2025

Microsoft đã phát hành bản vá vào ngày 14 tháng 10 năm 2025, như một phần của các bản cập nhật bảo mật thường xuyên. Việc cài đặt bản vá này trên tất cả các máy chủ bị ảnh hưởng là bắt buộc ngay lập tức. Khi quản lý cơ sở hạ tầng quan trọng, việc không áp dụng bản vá này là đang đùa với lửa.

Các nhóm CNTT cũng phải xem xét lại cấu hình IIS của mình, đặc biệt là bằng cách hạn chế các tính năng COM không cần thiết. Điều này làm giảm dấu vết tấn công, một biện pháp mà mọi quản trị viên giỏi và nghiêm túc đều áp dụng hàng ngày.

Cảnh báo này đóng vai trò như một lời nhắc nhở để thường xuyên theo dõi các bản tin của Microsoft và tránh để lại bất kỳ lỗ hổng nào trong cơ sở hạ tầng máy tính của bạn. Quản lý bảo mật nghiêm ngặt là cách duy nhất để tránh những bất ngờ khó chịu.

Những tác động đối với quản trị viên hệ thống và tương lai của IIS là gì?

Nói thẳng ra: lỗ hổng này kiểm tra tính mạnh mẽ của một công nghệ quan trọng. Quản trị viên phải hết sức cảnh giác. Với sự phức tạp ngày càng tăng của máy chủ, một lỗ hổng nhỏ nhất, đặc biệt là trong các thành phần hệ thống cấp thấp, có thể phá hỏng toàn bộ quá trình triển khai. Điều này cũng là một lời nhắc nhở để xem xét lại các phương pháp hay nhất: hãy tự kiểm tra môi trường của bạn trong môi trường phòng thí nghiệm trước khi triển khai, áp dụng các bản cập nhật ngay lập tức và đừng mù quáng giao phó việc bảo trì cho bất kỳ quản trị viên hệ thống “trẻ” nào, những người chỉ biết nói suông nhưng lại không biết cách thực hiện một lệnh sao chép tự động đơn giản mà không cần dựa vào Google.