Cảnh Báo Bảo Mật: Ransomware Lợi Dụng Lỗ Hổng Mới Trên Hệ Thống Microsoft

Microsoft đã phát hiện ra một chiến dịch ransomware tinh vi khai thác lỗ hổng zero-day trong Hệ thống tệp nhật ký chung của Windows (CLFS), được theo dõi là CVE-2025-29824. 

Chi tiết: 

  • Lỗ Hổng Nghiêm Trọng: Được xác định là CVE-2025-29824, lỗ hổng này cho phép kẻ tấn công giành được quyền truy cập hệ thống cao hơn, tạo bàn đạp vững chắc cho việc triển khai ransomware. 
  • Tác Nhân Đe Dọa: Chiến dịch tấn công được cho là do nhóm Storm-2460 thực hiện, đang sử dụng phần mềm độc hại PipeMagic để phát tán các payload ransomware. 
  • Mục Tiêu Đa Dạng: Các cuộc tấn công đã được ghi nhận nhắm vào các tổ chức trong lĩnh vực công nghệ thông tin, bất động sản (Mỹ), tài chính (Venezuela), một công ty phần mềm (Tây Ban Nha) và ngành bán lẻ (Ả Rập Xê Út). 
  • Phản Ứng Nhanh Chóng: Microsoft đã phát hành bản cập nhật bảo mật khẩn cấp vào ngày 8 tháng 4 năm 2025 để giải quyết và giảm thiểu tác động của lỗ hổng đang bị khai thác tích cực này. 

Giải Mã Chuỗi Tấn Công: 

  • Lỗ hổng CLFS tạo điều kiện cho kẻ tấn công khai thác các điểm yếu trong trình điều khiển kernel cốt lõi của Windows, tăng quyền truy cập vượt quá mức ban đầu. Nhóm Storm-2460 đã sử dụng các kỹ thuật tiên tiến, bao gồm: 
  • Rò Rỉ Địa Chỉ Kernel: Sử dụng API NtQuerySystemInformation để thu thập các địa chỉ bộ nhớ nhạy cảm ở cấp độ kernel. 
  • Thao Túng Token: Khai thác API RtlSetAllBits để giành quyền kiểm soát quy trình. 

Tuy nhiên, lỗ hổng này không hoạt động trên Windows 11, phiên bản 24H2, do quyền truy cập vào một số Lớp thông tin hệ thống bị hạn chế.

Kịch Bản Tấn Công:  

Xâm Nhập Ban Đầu

Xâm Nhập Ban Đầu: Đầu tiên, k tấn công sử dụng tiện ích hợp pháp certutil để tải xuống một tệp MSBuild độc hại, được lưu trữ trên các trang web bên thứ ba đã bị xâm nhập. Tệp này chứa độc PipeMagic đã được hóa. 

Khai thác lỗ hổng

Leo Thang Đặc Quyền: Lỗ hổng zero-day CLFS sau đó bị khai thác từ một quy trình dllhost.exe để đạt được quyền truy cập cao hơn. 

Sau khi khai thác thành công, kẻ tấn công sẽ chèn một đoạn mã vào winlogon.exe, sau đó sử dụng Sysinternals để sao chép bộ nhớ của tiến trình dịch vụ LSASS (lsass.exe). Mục đích của hành động này là để trích xuất thông tin đăng nhập của người dùng từ dữ liệu bộ nhớ đã thu thập. 

Triển Khai Ransomware

Cuối cùng, ransomware được triển khai, hóa các tệp nạn nhân thêm các đuôi mở rộng ngẫu nhiên. Một ghi chú đòi tiền chuộc tên ! READ_ME_REXX2 !.txt được đưa ra, chứa hai tên miền .onion được liên kết với họ ransomware RansomEXX. 

Các Biện Pháp Phòng Vệ:

  •  Cập nhật bảo mật: Microsoft đã phát hành các bản cập nhật bảo mật để giải quyết CVE 2025-29824. Khách hàng chạy Windows 11, phiên bản 24H2 không bị ảnh hưởng  
  • Bật bảo vệ từ đám mây: Kích hoạt và đảm bảo tính năng “cloud-delivered protection” đang hoạt động trên các giải pháp bảo mật của Microsoft (ví dụ: Microsoft Defender Antivirus). Giúp phân tích hành vi theo thời gian thực và phát hiện các mối đe dọa mới dựa trên dữ liệu từ hệ thống đám mây.
  • Sử dụng công cụ phát hiện thiết bị: Cài đặt và cấu hình các công cụ giúp quét và phát hiện tất cả thiết bị đang kết nối trong hệ thống mạng (bao gồm các thiết bị chưa được quản lý hoặc chưa cập nhật bản vá). Đảm bảo mọi thiết bị đều được giám sát và bảo vệ đầy đủ.
  • Kích hoạt chế độ “Block Mode” cho EDR: Nếu đang dùng giải pháp phát hiện và phản hồi điểm cuối (EDR) như Microsoft Defender for Endpoint, hãy thiết lập chế độ “Block mode” để tự động chặn các hành vi đáng ngờ.
  • Tự động hóa quá trình điều tra và khắc phục : Thiết lập hệ thống bảo mật để tự động điều tra các cảnh báo và xử lý chúng mà không cần can thiệp thủ công ngay lập tức. Để đẩy nhanh tốc độ phản ứng trước mối đe dọa và giảm thời gian kẻ tấn công có thể hoạt động trong hệ thống.
  • Sao lưu dữ liệu định kỳ và an toàn: Thiết lập quy trình sao lưu dữ liệu tự động và thường xuyên. Đảm bảo dữ liệu sao lưu được lưu giữ ở nơi an toàn, tách biệt với hệ thống chính (ví dụ: lưu offline hoặc trên đám mây).

  • Kiểm soát quyền truy cập: Áp dụng nguyên tắc “chỉ cấp quyền cần thiết” (least privilege). Người dùng và ứng dụng chỉ được cấp quyền phù hợp để thực hiện công việc của họ, không nhiều hơn.

  • Giám sát và phân tích nhật ký hệ thống: Thiết lập hệ thống giám sát log và phân tích nhật ký bảo mật nhằm phát hiện sớm các hành vi bất thường hoặc dấu hiệu xâm nhập trái phép.

  • Bắt buộc xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả tài khoản người dùng, đặc biệt là tài khoản quản trị hoặc có quyền truy cập dữ liệu quan trọng.

  • Thực hiện kiểm tra bảo mật định kỳ: Thường xuyên thực hiện đánh giá bảo mật, kiểm thử thâm nhập (penetration testing) để tìm ra điểm yếu tiềm ẩn trong hệ thống và ứng dụng.

  • Nâng cao nhận thức người dùng: Tổ chức đào tạo hoặc cung cấp thông tin cho nhân viên về các mối đe dọa từ ransomware, cách nhận biết email hoặc file đính kèm đáng ngờ và tầm quan trọng của việc tuân thủ các chính sách bảo mật.

Bảo vệ tổ chức của bạn bằng các giải pháp bảo mật của ITM! 

Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi và thay đổi liên tục, sự cảnh giác cùng những hành động chủ động là điều không thể thiếu. Phản ứng kịp thời của Microsoft trước các chiến dịch khai thác lỗ hổng zero-day và mã độc tống tiền (ransomware) đã cho thấy tầm quan trọng của một chiến lược bảo mật toàn diện và vững chắc. 

Nếu bạn đang tìm kiếm giải pháp để bảo vệ hệ thống CNTT hoặc cần hỗ trợ xử lý các mối lo ngại về an ninh mạng, đừng ngần ngại liên hệ với chúng tôi. Với ITM, bạn có thể tăng cường khả năng phòng thủ và luôn đi trước một bước trước các mối đe dọa mạng!  

, ,
error: Content is protected !!