Lỗ hổng CVE-2025-60727 đe dọa hàng triệu người dùng Microsoft 365 và Office

[WhiteHat Team]

Một tệp Excel tưởng chừng vô hại có thể trở thành cánh cửa để tin tặc xâm nhập và thực thi mã độc trên máy tính nạn nhân. Đây là cảnh báo mới nhất từ Microsoft khi hãng vừa phát hành bản vá cho lỗ hổng CVE-2025-60727, một lỗi thực thi mã từ xa ảnh hưởng đến nhiều phiên bản Office phổ biến. Vụ việc tiếp tục cho thấy các tài liệu văn phòng vẫn là công cụ được tội phạm mạng ưa chuộng để phát tán mã độc và triển khai các chiến dịch lừa đảo nhắm vào người dùng cũng như doanh nghiệp.
​

​

Theo Microsoft, CVE-2025-60727 được phân loại là lỗ hổng đọc bộ nhớ ngoài vùng biên (CWE-125), phát sinh từ cách Excel xử lý các tệp có cấu trúc dữ liệu bất thường. Khi người dùng mở một tệp được thiết kế đặc biệt, ứng dụng có thể truy cập dữ liệu nằm ngoài phạm vi bộ nhớ dự kiến, tạo điều kiện để tin tặc can thiệp vào quá trình xử lý và thực thi mã độc trên thiết bị nạn nhân. Lỗ hổng ảnh hưởng đến hàng loạt sản phẩm phổ biến, bao gồm Microsoft 365 Apps, Excel 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 và Office Online Server. Với phạm vi triển khai rộng khắp từ người dùng cá nhân đến doanh nghiệp, nguy cơ bị khai thác được đánh giá là không hề nhỏ.

Việc khai thác lỗ hổng yêu cầu nạn nhân mở tệp Excel chứa mã độc, nhưng không đòi hỏi xác thực hay quyền truy cập đặc biệt. Điều này khiến CVE-2025-60727 đặc biệt phù hợp với các chiến dịch phishing, nơi tin tặc có thể ngụy trang tệp đính kèm dưới dạng hóa đơn, báo cáo kinh doanh hoặc tài liệu nội bộ để đánh lừa người nhận. Chỉ cần nạn nhân mở tệp, mã độc có thể được kích hoạt âm thầm trong nền và thực thi dưới quyền của người dùng hiện tại.

Theo Microsoft, lỗ hổng xuất phát từ cách Excel xử lý một số dữ liệu bất thường bên trong tệp tin. Tin tặc có thể tạo ra một tệp Excel được thiết kế đặc biệt để đánh lừa ứng dụng trong quá trình đọc và xử lý dữ liệu. Khi đó, Excel có thể truy cập vào những vùng nhớ ngoài phạm vi dự kiến, tạo cơ hội cho mã độc được thực thi trên hệ thống của nạn nhân. Chính cơ chế này cho phép kẻ tấn công biến một tệp Excel tưởng như bình thường thành công cụ phát động tấn công.

Sau khi giành được quyền thực thi mã trên thiết bị nạn nhân, tin tặc có thể đánh cắp thông tin, triển khai mã độc hoặc âm thầm thiết lập chỗ đứng bên trong hệ thống. Với các tổ chức và doanh nghiệp, đây có thể trở thành mắt xích đầu tiên trong một cuộc tấn công lớn hơn. Chỉ từ một tệp Excel độc hại được mở trên máy trạm, kẻ tấn công có thể từng bước mở rộng phạm vi xâm nhập, tiếp cận các hệ thống quan trọng và gây ra những thiệt hại nghiêm trọng hơn.

Microsoft khuyến nghị các tổ chức tăng cường theo dõi hoạt động của Excel để kịp thời phát hiện những dấu hiệu khai thác bất thường. Một trong những chỉ báo đáng chú ý là việc Excel tự động khởi chạy các chương trình như Command Prompt, PowerShell hoặc các công cụ thực thi lệnh khác dù người dùng chỉ mở một tệp tài liệu thông thường. Đây có thể là dấu hiệu cho thấy mã độc đang lợi dụng lỗ hổng để thực hiện các lệnh trên hệ thống. Bên cạnh đó, các kết nối mạng phát sinh từ Excel ngay sau khi tài liệu được mở cũng cần được giám sát chặt chẽ, đặc biệt nếu chúng hướng tới các máy chủ hoặc tên miền không xác định.

Trong nhiều trường hợp, đây có thể là dấu hiệu cho thấy mã độc đang liên lạc với hạ tầng điều khiển của kẻ tấn công hoặc tải thêm thành phần độc hại về thiết bị. Ngoài các dấu hiệu trên, những hiện tượng như Excel đột ngột bị treo, gặp lỗi hoặc phát sinh sự cố khi xử lý các tệp tin bất thường cũng không nên bị xem nhẹ. Microsoft cho rằng việc kết hợp giám sát hành vi trên thiết bị đầu cuối với phân tích nhật ký hệ thống và lưu lượng mạng sẽ giúp các tổ chức nâng cao khả năng phát hiện sớm các cuộc tấn công, hạn chế nguy cơ kẻ tấn công lợi dụng một tệp Excel độc hại để mở rộng phạm vi xâm nhập trong mạng nội bộ.
​

Để giảm nguy cơ bị khai thác, Microsoft đã phát hành các bản cập nhật khắc phục cho toàn bộ sản phẩm bị ảnh hưởng và khuyến nghị người dùng, doanh nghiệp sớm triển khai bản vá trên hệ thống. Các cuộc tấn công phát tán mã độc thông qua tài liệu Office vẫn xuất hiện thường xuyên, khiến việc cập nhật phần mềm kịp thời trở thành một trong những biện pháp phòng vệ hiệu quả nhất trước các lỗ hổng thực thi mã từ xa.

Ngoài việc vá lỗi, Microsoft cũng khuyến cáo doanh nghiệp áp dụng thêm các biện pháp phòng ngừa như bật chế độ Protected View đối với các tài liệu tải xuống từ Internet hoặc nhận qua email, hạn chế sử dụng macro và kiểm soát chặt các nội dung bên ngoài được nhúng trong tệp Office. Các cơ chế bảo vệ như Attack Surface Reduction cũng nên được kích hoạt để ngăn chặn những kỹ thuật khai thác thường được tin tặc sử dụng.

Bên cạnh các biện pháp kỹ thuật, việc tăng cường lọc email, kiểm tra nguồn gốc tệp đính kèm và nâng cao nhận thức cho người dùng vẫn đóng vai trò quan trọng. Thực tế cho thấy nhiều vụ xâm nhập bắt đầu từ một tệp tài liệu được ngụy trang khéo léo, trước khi lan rộng sang các hệ thống quan trọng khác trong tổ chức.

Mặc dù hiện chưa ghi nhận chiến dịch khai thác thực tế nào nhắm vào CVE-2025-60727, nhưng đây là lỗ hổng có mức độ rủi ro cao do phương thức tấn công hoàn toàn tương đồng với các chiến dịch phishing và phát tán mã độc qua tài liệu Office vốn đã được sử dụng rộng rãi trong nhiều năm qua. Với phạm vi ảnh hưởng lớn và khả năng thực thi mã trên hệ thống nạn nhân, đây là lỗ hổng mà các tổ chức không nên xem nhẹ.​