Lỗ hổng bảo mật trong dịch vụ cập nhật Windows Server: ít nhất 50 nạn nhân bị mắc kẹt

Các quản trị viên hệ thống có lý do chính đáng để lo ngại về làn sóng tấn công nhắm vào Dịch vụ Cập nhật Windows Server. Ít nhất 50 tổ chức đã trở thành nạn nhân, một phần ba trong số đó nằm ở Hoa Kỳ. Đây không phải là một sự cố nhỏ mà là một lỗ hổng nghiêm trọng, có thể khai thác, gây ra sự hoảng loạn lan rộng trong cộng đồng CNTT.

Lỗ hổng nghiêm trọng trong Dịch vụ Cập nhật Windows Server: một vi phạm gây thiệt hại

Câu chuyện này bắt đầu với một lỗ hổng được xác định là CVE-2025-59287. Nói một cách đơn giản, đó là một lỗ hổng trong quá trình giải tuần tự hóa dữ liệu không đáng tin cậy, mở ra cánh cửa cho các cuộc tấn công tinh vi. Microsoft đã phát hành một bản vá khẩn cấp vào giữa tháng 10, nhưng nó đã được chứng minh là không đủ.

Tình hình không hề đơn giản. Tin tặc, dường như được tổ chức tốt, đã lợi dụng lỗ hổng này để xâm nhập vào cơ sở hạ tầng. Điều đáng lo ngại nhất? Chúng không chỉ lây nhiễm các hệ thống này; chúng còn đánh cắp dữ liệu nhạy cảm, có khả năng thực hiện các cuộc tấn công tiếp theo.

Nạn nhân mục tiêu: các công ty công nghệ cao, trường đại học và bệnh viện trong tầm ngắm

Nạn nhân không chỉ giới hạn ở một nhóm: danh sách bao gồm các công ty công nghệ, trường đại học danh tiếng và các tổ chức chăm sóc sức khỏe. Mức độ nghiêm trọng của tình hình rất đáng chú ý. Khi loại hình dịch vụ này bị xâm phạm, nó không chỉ đơn thuần là một lỗi cập nhật; nó còn mở ra cánh cửa cho những thiệt hại nghiêm trọng.

Kịch bản này gợi ý một hoạt động trinh sát. Tóm lại, những kẻ tấn công đang thử nghiệm các phương pháp của chúng, phân tích những gì chúng đã thu thập được và chuẩn bị cho bước đi tiếp theo. Đây không phải là một tai nạn ngẫu nhiên, mà là một cuộc tấn công phối hợp đang được hình thành.

Các dấu hiệu của một cuộc tấn công được dàn dựng công phu và ý nghĩa của nó đối với quản trị viên

Nhóm Sophos đã phát hiện sáu lỗ hổng liên quan trực tiếp đến lỗ hổng này, trong khi mối đe dọa đang gia tăng từ nhiều góc độ khác. Đối mặt với điều này, các nhóm bảo mật phải tăng gấp đôi nỗ lực. Thách thức đặt ra là: xác minh tất cả các hệ thống, vá các lỗ hổng và đảm bảo không còn điểm truy cập độc hại nào còn mở.

Các nhà quan sát cũng đã thấy một số nhóm tin tặc tham gia. Một số tác nhân được xác định, chẳng hạn như UNC6512, có các phương pháp hoạt động rất tinh vi: chiếm quyền truy cập vào hệ thống, quét hệ thống, trích xuất dữ liệu rồi biến mất.

Microsoft và các cơ quan chức năng đã hành động.

Sau sai lầm ban đầu này, Microsoft đã vội vàng đưa ra một bản vá mới để nhanh chóng vá lỗ hổng. Đây không phải là lần đầu tiên các bản cập nhật của họ gây ra sự cố lớn trong môi trường máy chủ. Có vẻ như họ thích khiến mọi người phải hồi hộp! Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh sách các mối đe dọa đã biết. Thông điệp của họ rất rõ ràng: các bản cập nhật này phải được áp dụng ngay lập tức và các hệ thống phải được kiểm tra kỹ lưỡng để phát hiện bất kỳ tác động nào. Không có chỗ cho sự chủ quan ở đây.