Một lỗ hổng trong máy khách Microsoft Windows SMB có thể cho phép tin tặc kiểm soát hoàn toàn hệ thống

Một đòn giáng nữa vào Windows truyền thống. Một lỗ hổng nghiêm trọng trong ứng dụng khách SMB của Microsoft đang bị tin tặc khai thác tích cực. Hậu quả là gì? Toàn bộ quyền kiểm soát hệ thống sẽ nằm trong tay chúng, nếu bạn không hành động nhanh chóng.

Một lỗ hổng SMB khiến các chuyên gia bảo mật CNTT lo sợ. Giao thức Server Message Block, hay còn gọi là SMB, là “người lái phụ” thầm lặng cho phép Windows chia sẻ tệp và máy in trên mạng. Đơn giản, hiệu quả và thiết yếu trong kinh doanh. Nhưng vấn đề nằm ở chỗ: một lá chắn đã bị xâm phạm gần đây. Lỗ hổng, được xác định là

CVE-2025-33073

, mở ra một cánh cửa rộng mở cho tin tặc. Chúng có thể lẻn vào, thuyết phục máy mục tiêu kết nối với một máy chủ SMB độc hại, và đó chính là lúc rắc rối bắt đầu. Không cần khai thác phức tạp mà không cần tương tác với người dùng; tất cả những gì người dùng cần là bị lừa vào một yêu cầu giả mạo kết nối. Tóm lại, ứng dụng khách Windows nhận được một thiết bị nổ được ngụy trang dưới dạng một thư mục dùng chung!

Cách kẻ tấn công khai thác lỗ hổng SMB này để chiếm quyền kiểm soát

Vụ việc đã được CISA, cơ quan an ninh mạng Hoa Kỳ, ghi chép đầy đủ. Vào ngày 20 tháng 10, cơ quan này đã thêm lỗ hổng này vào danh mục các lỗ hổng bị khai thác tích cực. Tất cả các hệ thống và máy chủ Windows 10 và Windows 11 bị ảnh hưởng đều bị nhắm mục tiêu. Bản vá lỗi Patch Tuesday vào tháng 6 năm 2025 đã cố gắng khắc phục sự cố, nhưng vẫn chưa có kết quả.

Quá trình này rất đơn giản và hiệu quả đến kinh ngạc: kẻ tấn công lừa nạn nhân kết nối với máy chủ SMB mà chúng kiểm soát, ví dụ, thông qua một tập lệnh độc hại. Giao thức bị xâm phạm sẽ phản tác dụng và trao cho nạn nhân chìa khóa của pháo đài. Việc leo thang đặc quyền là hoàn toàn, với quyền truy cập HỆ THỐNG. Một khi đạt đến cấp độ này, chúng có thể làm bất cứ điều gì!

Giải quyết vấn đề trực diện: các biện pháp thiết yếu

Phản ứng phải nhanh chóng và dứt khoát. CISA đã ra tối hậu thư cho các cơ quan liên bang Hoa Kỳ: áp dụng bản vá hoặc ngắt kết nối các máy bị ảnh hưởng trước ngày 10 tháng 11. Nhưng đây không chỉ là vấn đề bên kia Đại Tây Dương. Chúng ta đang nói về một lỗ hổng nghiêm trọng có thể làm tê liệt hoạt động sản xuất của một công ty Pháp mà không báo trước. Điều quan trọng là phải áp dụng bản cập nhật bảo mật được phát hành vào tháng 6 năm 2025. Không có biện pháp nửa vời. Và trên hết, hãy giám sát mạng của bạn. Bất kỳ lưu lượng SMB nào đi ra đáng ngờ đều phải báo động. Các kết nối SMB từ các mạng không đáng tin cậy cũng nên được giới hạn: điều này tránh tạo điều kiện cho tin tặc dễ dàng vượt qua. Một lỗ hổng có thể phòng ngừa, một rủi ro không thể bỏ qua nữa.

Lỗ hổng này là một ví dụ điển hình cho thấy sự bất cẩn có thể gây ra hậu quả nghiêm trọng như thế nào. Việc chia sẻ SMB mở và không bị hạn chế đã lỗi thời kể từ Windows 95. Ngày nay, tính nghiêm ngặt trong kinh doanh đòi hỏi sự cảnh giác cao độ đối với những điểm yếu này. Các quản trị viên trẻ thích đồ họa hào nhoáng và Teams phong phú, nhưng khi SMB gặp sự cố, chúng sẽ biến mất. Các quản trị viên kỳ cựu biết rằng điều đó có thể khiến công ty sụp đổ ngay lập tức. Vì vậy, thông điệp rất rõ ràng: