Lỗ hổng RCE trong Windows Server Update Services (CVE-2025-59287)

Tổng quan

Bitdefender vừa công bố cảnh báo về lỗ hổng bảo mật nghiêm trọng mang mã định danh CVE-2025-59287, ảnh hưởng đến Windows Server Update Services (WSUS). Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý (Remote Code Execution – RCE) mà không cần xác thực, đe dọa toàn bộ hệ thống máy chủ Windows đang triển khai WSUS.

Microsoft đã phát hành bản vá out-of-band (OOB) vào ngày 23/10/2025 sau khi ghi nhận bằng chứng khai thác thực tế trên diện rộng chỉ vài giờ sau bản vá định kỳ tháng 10.

Chi tiết kỹ thuật

Lỗ hổng CVE-2025-59287 nằm trong thành phần web service của WSUS, cụ thể là cơ chế deserialization dữ liệu không tin cậy trong AuthorizationCookie hoặc các yêu cầu HTTP. Kẻ tấn công có thể gửi một gói tin độc hại được chế tạo đặc biệt đến cổng WSUS (mặc định 8530 hoặc 8531) để thực thi mã tùy ý với quyền SYSTEM.

Mức độ nghiêm trọng được đánh giá CVSS 9.8 – Critical, cho phép:

• Thực thi mã từ xa mà không cần tài khoản hợp lệ
• Chiếm quyền điều khiển hệ thống
• Triển khai mã độc hoặc phần mềm tống tiền (ransomware)
• Mở cửa hậu (backdoor) để truy cập nội bộ

Phiên bản Windows Server bị ảnh hưởng

Theo phân tích của Bitdefender và Microsoft, các phiên bản bị ảnh hưởng bao gồm:

• Windows Server 2012 / 2012 R2
• Windows Server 2016 / 2019 / 2022 / 2025

Chỉ những máy chủ đang cài đặt và kích hoạt WSUS Role mới chịu tác động. Nếu WSUS không hoạt động, hệ thống không bị ảnh hưởng.

Bằng chứng khai thác thực tế

Ngay sau khi Microsoft công bố bản vá, Bitdefender Threat Intelligence ghi nhận hoạt động quét và khai thác tự động trên Internet nhắm vào các máy chủ WSUS công khai. Một số tổ chức đã báo cáo dấu hiệu cài đặt mã độc và thiết lập kết nối ra ngoài.

Các nhóm nghiên cứu bảo mật (Huntress, Unit42) đã công bố Indicators of Compromise (IoC) giúp phát hiện sớm hành vi khai thác, bao gồm:

• Truy cập bất thường tới các endpoint của WSUS
• Yêu cầu POST chứa dữ liệu cookie lạ
• Xuất hiện tiến trình hoặc tác vụ chạy với quyền SYSTEM

Hướng dẫn khắc phục và bảo vệ

Bitdefender khuyến cáo hành động ngay lập tức theo các bước sau:

1. Cập nhật bản vá OOB ngày 23/10/2025 từ Microsoft (KB5070882).
2. Ngắt truy cập Internet tới cổng WSUS (TCP 8530/8531) nếu chưa thể vá ngay.
3. Kiểm tra log IIS và Windows Event để phát hiện yêu cầu đáng ngờ.
4. Tạm thời dừng dịch vụ WSUS nếu máy chủ không cần hoạt động liên tục.
5. Triển khai EDR / AV cập nhật mới nhất để quét và cô lập mã độc tiềm ẩn.

Các quản trị viên nên rà soát toàn bộ hệ thống WSUS trong doanh nghiệp, đặc biệt là các máy chủ có truy cập từ mạng công cộng hoặc DMZ.

Mua bản quyền Bitdefender

GADITI là đơn vị chuyên cung cấp phần mềm bản quyền & dịch vụ IT cho doanh nghiệp SMB. Với thế mạnh là đội ngũ chuyên gia CNTT chuyên nghiệp, đã qua đào tạo bài bản & được cấp chứng chỉ quốc tế và trong nước, chúng tôi có thể giúp bạn mua bản quyền, gia hạn, nâng cấp với báo giá tốt nhất tất cả các sản phẩm Bitdefender, đặc biệt là doanh nghiệp được miễn phí hỗ trợ cài đặt và khắc phục sự cố.

Lợi ích của khách hàng khi mua bản quyền tại GADITI:

• Giá License cạnh tranh, chúng tôi giúp khách hàng tối ưu chi phí vận hành nhất có thể, đồng thời đưa ra tư vấn cấp phép bản quyền tốt nhất.
• Minh bạch về giá giấy phép bản quyền, miễn phí tư vấn.
• Giảm chi phí, tối ưu hệ thống công nghệ doanh nghiệp từ chuyên gia IT.
• Đối tác của Microsoft có năng lực được chứng nhận, nếu bạn cần hỗ trợ từ các chuyên gia bảo mật.

CÔNG TY TNHH CÔNG NGHỆ GADITI

• Địa chỉ: 161E1 Trung Mỹ Tây 13A, Phường Trung Mỹ Tây, Quận 12, Thành phố Hồ Chí Minh
• Điện thoại: 039.8686.950
• Mail: info@gaditi.com

Tham khảo Technical Advisory: Critical Unauthenticated RCE in Windows Server Update Services (WSUS) – CVE-2025-59287