Buzz
Bản vá mới từ Microsoft đã sửa chữa một lỗ hổng zero-day cực kỳ nguy hiểm, cho phép hacker chiếm quyền kiểm soát hệ thống mạng với đặc quyền quản trị cao nhất.
Trong đợt cập nhật Patch Tuesday tháng 8/2025, Microsoft đã vá tổng cộng 107 lỗ hổng, trong đó có lỗi zero-day liên quan đến khai thác Kerberos trên hệ điều hành Windows.
Theo Bleeping Computer, trong số các lỗ hổng đã được vá, có đến 13 lỗi được xếp vào mức độ nghiêm trọng, gồm 9 lỗi cho phép thực thi mã từ xa, 3 lỗi dẫn đến rò rỉ thông tin và 1 lỗi nâng cấp đặc quyền hệ thống.
Lỗ hổng zero-day (mã CVE-2025-53779) được xác định là lỗi leo thang đặc quyền trong Kerberos, cho phép hacker đã xác thực có thể chiếm quyền quản trị domain. Microsoft cho biết kẻ tấn công cần quyền truy cập cao cấp vào hai thuộc tính dMSA để khai thác lỗi này.
Hai thuộc tính quan trọng gồm msds-groupMSAMembership (cho phép sử dụng dMSA) và msds-ManagedAccountPreceededByLink (nơi hacker cần quyền ghi để chỉ định người dùng mà dMSA có thể đại diện thực hiện hành động).
Microsoft đã công nhận Yuval Gordon từ Akamai là người phát hiện ra lỗ hổng này. Ông đã công bố báo cáo kỹ thuật chi tiết về vấn đề bảo mật này vào tháng 5.
Nguồn: tomsguide
- Windows 11 24H2 đang được Microsoft áp dụng chính sách cập nhật bắt buộc, bất kể người dùng có đồng ý hay không
- Điều nghịch lý: Windows 10 vẫn tăng thị phần đều đặn mỗi tháng dù Microsoft đã tuyên bố ngừng hỗ trợ cập nhật
