Cảnh báo lỗ hổng Print Spooler trên Windows cho phép thực thi mã độc

Ngày 12/8/2025, Lỗ hổng CVE-2025-49712 tồn tại do việc xử lý không đúng cách các yêu cầu in độc hại được gửi đến dịch vụ Print Spooler của Windows. Dịch vụ này, chịu trách nhiệm quản lý các lệnh in, không xác thực đầy đủ dữ liệu đầu vào từ người dùng.

Kẻ tấn công có thể lợi dụng điều này bằng cách tạo một gói dữ liệu được chế tạo đặc biệt và gửi nó đến máy chủ mục tiêu đang chạy dịch vụ Print Spooler. Khi dịch vụ xử lý gói tin này, một tình trạng tràn bộ đệm (buffer overflow) sẽ xảy ra, cho phép kẻ tấn công ghi đè lên bộ nhớ của tiến trình và thực thi mã độc hại với quyền hạn của người dùng SYSTEM.

Điều này có nghĩa là kẻ tấn công có thể chiếm toàn quyền kiểm soát hệ thống bị ảnh hưởng, bao gồm cài đặt phần mềm độc hại, đánh cắp, sửa đổi hoặc xóa dữ liệu, và tạo tài khoản người dùng mới với đầy đủ đặc quyền.

Mức độ và Phạm vi ảnh hưởng

Mức độ tác động:

- Thực thi mã từ xa (RCE): Kẻ tấn công có thể chạy mã tùy ý trên hệ thống mục tiêu.

- Leo thang đặc quyền (Privilege Escalation): Mã độc được thực thi với quyền SYSTEM, mức quyền cao nhất trên hệ điều hành Windows.

- Tấn công không cần xác thực: Kẻ tấn công không cần có tài khoản hợp lệ trên hệ thống mục tiêu để thực hiện cuộc tấn công.

Các sản phẩm bị ảnh hưởng:

Lỗ hổng này ảnh hưởng đến một loạt các phiên bản hệ điều hành Windows, bao gồm nhưng không giới hạn ở:

- Windows Server 2016

- Windows Server 2019

- Windows Server 2022

- Windows 10 (các phiên bản cụ thể)

- Windows 11

Để có danh sách đầy đủ và chi tiết nhất về các phiên bản bị ảnh hưởng, vui lòng tham khảo trang Microsoft Security Update Guide (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49712).

Biện pháp Khắc phục và Giảm thiểu

- Cài đặt bản vá: Áp dụng ngay lập tức các bản cập nhật bảo mật tháng 9 năm 2025 của Microsoft cho tất cả các hệ thống Windows bị ảnh hưởng. Sử dụng Windows Update hoặc Windows Server Update Services (WSUS) để triển khai bản vá.

- Vô hiệu hóa Dịch vụ Print Spooler (Nếu có thể): Đối với các máy chủ không yêu cầu chức năng in, chẳng hạn như máy chủ điều khiển tên miền (Domain Controllers) hoặc máy chủ cơ sở dữ liệu, hãy xem xét việc vô hiệu hóa dịch vụ Print Spooler như một biện pháp giảm thiểu rủi ro bổ sung.

+ Phân đoạn mạng và Tường lửa: Hạn chế quyền truy cập vào dịch vụ Print Spooler từ các mạng không đáng tin cậy. Chặn các cổng TCP 135, 139, 445 và các cổng RPC động khỏi truy cập bên ngoài.

+ Giám sát an ninh: Tăng cường giám sát các nhật ký sự kiện trên các máy chủ quan trọng để phát hiện các hoạt động bất thường liên quan đến dịch vụ Print Spooler.

+ Khuyến nghị

- Ưu tiên vá lỗi: Các máy chủ quan trọng, đặc biệt là các Domain Controller và các máy chủ có kết nối Internet, phải được vá lỗi đầu tiên.

- Kiểm tra sau khi vá: Sau khi cài đặt bản cập nhật, hãy xác minh rằng dịch vụ Print Spooler hoạt động bình thường trên các hệ thống yêu cầu chức năng in.

- Rà soát hệ thống: Thực hiện quét lỗ hổng trên toàn bộ hệ thống để xác định tất cả các máy chủ còn tồn tại lỗ hổng và đảm bảo chúng được khắc phục kịp thời.

- Cập nhật thông tin: Thường xuyên theo dõi các thông báo bảo mật từ Microsoft và các nguồn tin cậy khác để cập nhật về các mối đe dọa mới.

Tài liệu tham khảo

Để biết thêm thông tin chi tiết và hướng dẫn kỹ thuật, vui lòng tham khảo các nguồn chính thức sau:

- National Vulnerability Database (NVD): https://nvd.nist.gov/vuln/detail/CVE-2025-49712

- Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49712

- Bài viết kỹ thuật từ một trung tâm an ninh mạng uy tín (ví dụ): https://www.cybersecurity-center.com/analysis/deep-dive-cve-2025-49712