Bản vá Big March khắc phục hàng chục lỗi bảo mật trong Windows và Office

Hôm qua là Bản vá của Microsoft vào thứ ba cho tháng 3, mang đến các bản cập nhật bảo mật giải quyết 58 lỗ hổng mới. Theo công ty, sáu trong số các lỗ hổng trong Windows đã bị khai thác và tấn công trong tự nhiên. Một lỗ hổng khác trong Office cũng đã được biết đến rộng rãi.

Microsoft cung cấp thông tin chi tiết thưa thớt về các lỗ hổng trong đó Hướng dẫn cập nhật bảo mật. May mắn thay, Dustin Childs đi sâu vào bản vá với nhiều chi tiết hơn về Blog Trend Micro ZDI, luôn để mắt đến những quản trị viên quản lý mạng công ty.

Bản vá thứ Ba theo lịch trình tiếp theo sẽ diễn ra vào ngày 8 tháng 4 năm 2025.

Lỗi bảo mật Windows được giải quyết

Một số lượng lớn các lỗ hổng được vá — 37 trong số chúng lần này — trải rộng trên nhiều phiên bản Windows khác nhau, bao gồm Windows Server, 10 và 11 mà Microsoft vẫn cung cấp các bản cập nhật bảo mật. (Hãy nhớ, hỗ trợ chính thức cho Windows 10 sắp kết thúc cuối năm nay!)

Với việc Windows 7 và 8.1 không còn nhận được các bản cập nhật bảo mật, chúng ngày càng dễ bị tổn thương hơn trước các mối đe dọa bảo mật. Nếu phần cứng của bạn cho phép, bạn nên chuyển sang Windows 10 (22H2) hoặc Windows 11 (24H2) để tiếp tục nhận các bản cập nhật bảo mật.

Windows bị tấn công

Theo Microsoft, đã có các cuộc tấn công vào sáu lỗ hổng bảo mật Windows được giải quyết trong bản vá. Tuy nhiên, Microsoft không phân loại bất kỳ trong số chúng là quan trọng. Nhìn chung, nó không biết mức độ phổ biến của các cuộc tấn công vào các lỗ hổng này hiện tại. Microsoft không cung cấp bất kỳ thông tin nào về điều đó.

Theo Dustin Childs, lỗ hổng CVE-2025-26633 trong Bảng điều khiển quản lý Microsoft (MMC) đang được nhóm ATP EncryptHub (còn gọi là Larva-208) sử dụng cho các cuộc tấn công có chủ đích. Thủ phạm đã tấn công thành công hơn 600 tổ chức. Lỗ hổng nằm ở việc xử lý các tệp MSC mà kẻ tấn công có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã với quyền của người dùng.

Nếu bạn gắn một tệp ổ cứng ảo (VHD) được chế tạo đặc biệt, thì cũng có một khai thác cho các lỗ hổng CVE-2025-24993 và CVE-2025-24985. Trong khi một lỗ hổng RCE (Thực thi mã từ xa) ảnh hưởng đến hệ thống tệp NTFS thì lỗ hổng còn lại nằm trong trình điều khiển của hệ thống tệp FAT. Kết hợp với lỗ hổng EoP (Elevation of Privilege), kẻ tấn công có thể chiếm toàn bộ hệ thống.

Nếu người dùng đã đăng nhập có thể bị lừa thực thi một chương trình được tạo đặc biệt để khai thác CVE-2025-24983 trong hệ thống con nhân Win32, mã có đặc quyền hệ thống có thể được thực thi. Kết hợp với việc khai thác RCE, điều này có thể dẫn đến việc tiếp quản hệ thống.

Lỗ hổng nghiêm trọng của Windows

Microsoft phân loại năm lỗ hổng RCE trong Windows là nghiêm trọng, chưa bị tấn công. Hai lỗ hổng trong Dịch vụ máy tính từ xa — CVE-2025-24035 và CVE-2025-24045 — dường như đặc biệt có vấn đề. Kẻ tấn công sẽ chỉ cần kết nối với cổng RDS dễ bị tấn công để chèn và thực thi mã.

Các lỗi bảo mật của Microsoft Office được giải quyết

Microsoft đã sửa 11 lỗ hổng trong các sản phẩm và dịch vụ Office của mình, tất cả đều là lỗ hổng RCE. Lỗ hổng CVE-2025-26630 in Access nổi bật vì nó đã được biết trước một cách công khai (lỗ hổng zero-day). Tuy nhiên, lỗ hổng duy nhất được xác định là nghiêm trọng là CVE-2025-24057, có thể ảnh hưởng đến tất cả các ứng dụng Office. Có ba lỗ hổng RCE, mỗi lỗ hổng trong Word và Excel.

Các lỗi bảo mật của Microsoft Edge được giải quyết

Bản cập nhật bảo mật mới nhất cho trình duyệt Edge của Microsoft là phiên bản 134.0.3124.51 từ ngày 6 tháng 3, dựa trên Chromium 134.0.6998.45. Nó sửa một lỗ hổng bảo mật dành riêng cho Edge (CVE-2025-26643). Google sau đó đã phát hành bản cập nhật bảo mật mới cho Chrome (phiên bản 134.0.6998.89) vào ngày 10 tháng 3, sửa lỗ hổng zero-day.