-
09/04/2020
-
99
-
853 bài viết
Tấn công Kerberos mới khiến hàng triệu hệ thống Windows có nguy cơ bị kiểm soát
Microsoft vừa phát hành bản vá bảo mật trong đợt Patch Tuesday tháng 6/2025 nhằm khắc phục một lỗ hổng zero-day nghiêm trọng có mã định danh CVE-2025-33073. Lỗ hổng này ảnh hưởng đến toàn bộ hệ sinh thái Windows, cho phép kẻ tấn công chiếm quyền cao nhất (NT AUTHORITY\SYSTEM) thông qua hình thức tấn công Kerberos Relay hoàn toàn mới.
Cuộc tấn công bắt đầu bằng xác thực ép buộc (authentication coercion) cho phép kẻ tấn công dùng tài khoản có đặc quyền thấp để buộc máy tính Windows kết nối và xác thực với hệ thống do chúng kiểm soát thông qua giao thức SMB.
Sau đó, kẻ tấn công lợi dụng kỹ thuật CredUnmarshalTargetInfo/CREDENTIAL_TARGET_INFORMATIONW để đăng ký một tên máy chủ đặc biệt, khiến hệ thống Windows phát hành vé Kerberos cho một máy chủ không phải máy chủ thật mà người dùng hoặc hệ thống định kết nối. Điều này khiến Windows "bị đánh lừa", tin rằng quá trình xác thực đang diễn ra nội bộ, trong khi thực chất thông tin xác thực đã bị gửi đến máy chủ do tin tặc kiểm soát.
Hệ thống Windows khi đó nhầm tưởng đang thực hiện xác thực nội bộ, nhưng thực tế lại đang gửi thông tin xác thực đến một máy chủ bên ngoài do tin tặc kiểm soát. Kết quả, kẻ tấn công có thể thu thập vé Kerberos và chiếm được đặc quyền NT AUTHORITY\SYSTEM - quyền cao nhất trong hệ điều hành Windows, tương đương với việc kiểm soát hoàn toàn hệ thống bị tấn công.
Lỗ hổng này ảnh hưởng đến hầu hết các phiên bản Windows bao gồm Windows 10, Windows 11 và Windows Server từ 2019 đến 2025, hiện chưa có phiên bản nào được xác nhận là miễn nhiễm hoàn toàn. Nguy cơ cao nhất nằm ở các môi trường doanh nghiệp sử dụng Active Directory, nơi xác thực Kerberos và relay qua SMB diễn ra phổ biến khiến hệ thống dễ trở thành mục tiêu tấn công.
Các tổ chức và doanh nghiệp nên nhanh chóng cập nhật hệ thống để vá lỗ hổng CVE-2025-33073. Nếu chậm trễ, hệ thống có thể bị tin tặc chiếm quyền kiểm soát hoàn toàn thông qua một chuỗi tấn công tinh vi nhưng hoàn toàn khả thi trong thực tế.
Cơ chế tấn công Kerberos mới: Từ xác thực ép buộc đến chiếm quyền cao nhất
Lỗ hổng CVE-2025-33073 được nhóm RedTeam Pentesting phát hiện vào tháng 1/2025, liên quan đến một phương thức tấn công mới có tên Reflective Kerberos Relay Attack. Kỹ thuật này khai thác sâu vào điểm yếu trong cách Windows xử lý xác thực Kerberos, một cơ chế phổ biến trong môi trường doanh nghiệp sử dụng Active Directory.Cuộc tấn công bắt đầu bằng xác thực ép buộc (authentication coercion) cho phép kẻ tấn công dùng tài khoản có đặc quyền thấp để buộc máy tính Windows kết nối và xác thực với hệ thống do chúng kiểm soát thông qua giao thức SMB.
Sau đó, kẻ tấn công lợi dụng kỹ thuật CredUnmarshalTargetInfo/CREDENTIAL_TARGET_INFORMATIONW để đăng ký một tên máy chủ đặc biệt, khiến hệ thống Windows phát hành vé Kerberos cho một máy chủ không phải máy chủ thật mà người dùng hoặc hệ thống định kết nối. Điều này khiến Windows "bị đánh lừa", tin rằng quá trình xác thực đang diễn ra nội bộ, trong khi thực chất thông tin xác thực đã bị gửi đến máy chủ do tin tặc kiểm soát.
Hệ thống Windows khi đó nhầm tưởng đang thực hiện xác thực nội bộ, nhưng thực tế lại đang gửi thông tin xác thực đến một máy chủ bên ngoài do tin tặc kiểm soát. Kết quả, kẻ tấn công có thể thu thập vé Kerberos và chiếm được đặc quyền NT AUTHORITY\SYSTEM - quyền cao nhất trong hệ điều hành Windows, tương đương với việc kiểm soát hoàn toàn hệ thống bị tấn công.
Lỗ hổng này ảnh hưởng đến hầu hết các phiên bản Windows bao gồm Windows 10, Windows 11 và Windows Server từ 2019 đến 2025, hiện chưa có phiên bản nào được xác nhận là miễn nhiễm hoàn toàn. Nguy cơ cao nhất nằm ở các môi trường doanh nghiệp sử dụng Active Directory, nơi xác thực Kerberos và relay qua SMB diễn ra phổ biến khiến hệ thống dễ trở thành mục tiêu tấn công.
Khuyến cáo
Microsoft đã phát hành bản vá Patch Tuesday tháng 6/2025 để xử lý lỗ hổng CVE-2025-33073, đồng thời trao thưởng 5.000 USD cho nhóm nghiên cứu. Mặc dù ban đầu từ chối trả thưởng, Microsoft sau đó đã ghi nhận mức độ nghiêm trọng và điều chỉnh quyết định.Các tổ chức và doanh nghiệp nên nhanh chóng cập nhật hệ thống để vá lỗ hổng CVE-2025-33073. Nếu chậm trễ, hệ thống có thể bị tin tặc chiếm quyền kiểm soát hoàn toàn thông qua một chuỗi tấn công tinh vi nhưng hoàn toàn khả thi trong thực tế.
Theo Cyber Press