 |
🔐 Tổng quan về hai lỗ hổng SMB năm 2025
| Thuộc tính | CVE-2025-58726 | CVE-2025-33073 |
|---|---|---|
| Loại lỗ hổng | Elevation of Privilege (Leo thang đặc quyền) | Elevation of Privilege (Leo thang đặc quyền) |
| Thành phần ảnh hưởng | SMB Server | SMB Client |
| CVSS 3.1 | 7.5 – High | 9.8 – Critical |
| Cơ chế khai thác | Improper Access Control (CWE-284) | NTLM Reflection Bypass |
| Yêu cầu xác thực | Có – cần tài khoản nội bộ | Không – có thể khai thác từ xa nếu SMB Signing tắt |
| Mức độ nghiêm trọng | Quan trọng (Important) | Nghiêm trọng (Critical) |
| Nguy cơ | Chiếm quyền SYSTEM từ tài khoản thấp | Chiếm quyền SYSTEM từ xa qua SMB |
🧪 Cách kiểm tra hệ thống có bị ảnh hưởng không
1. Kiểm tra bản vá đã được cài chưa
Mở PowerShell với quyền Administrator và chạy:
Get-HotFix | Sort-Object InstalledOn -DescendingTìm các bản cập nhật có mã KB tương ứng với thời điểm phát hành bản vá.
2. Kiểm tra trạng thái SMB Signing
Get-SmbServerConfiguration | Select EnableSecuritySignature, RequireSecuritySignatureNếu RequireSecuritySignature là False, hệ thống có thể dễ bị khai thác bởi CVE-2025-33073.
🛡️ Biện pháp giảm thiểu
Bật SMB Signing
Cách 1: PowerShell
Set-SmbServerConfiguration -EnableSecuritySignature $true -RequireSecuritySignature $trueLưu ý: Phải chạy PowerShell với quyền Administrator. Nếu gặp lỗi “Access is denied”, hãy đảm bảo bạn có quyền Local Admin.
Cách 2: Group Policy
- Mở
gpedit.msc - Vào:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options - Bật các mục:
- Microsoft network client: Digitally sign communications (always)
- Microsoft network server: Digitally sign communications (always)
Chạy gpupdate /force để áp dụng.
⚠️ Ảnh hưởng khi bật SMB Signing
| Tác động | Mô tả |
|---|---|
| Hiệu suất giảm nhẹ | Do SMB phải xử lý thêm bước ký số |
| Không tương thích thiết bị | Một số NAS, máy in mạng cũ không hỗ trợ SMB Signing |
| Lỗi kết nối SMB | Nếu máy khách không bật SMB Signing, có thể không kết nối được |
| Ứng dụng cũ có thể lỗi | Một số phần mềm nội bộ dùng SMB không tương thích với SMB Signing |
📌 Kết luận
Cả hai lỗ hổng đều có thể dẫn đến việc chiếm quyền SYSTEM nếu không được vá kịp thời. Đặc biệt, CVE-2025-33073 có thể bị khai thác từ xa nếu SMB Signing không được bật. Việc kiểm tra và cấu hình SMB Signing là bước quan trọng để giảm thiểu rủi ro.
Chắc chưa
Trả lờiXóabạn nên liên hệ trực tiếp bên mình để được hỗ trợ nhé, bao tất cả loại ransomware, chi phí trọn đời dưới 10 máy 1tr9/máy, trên 10 máy 950k/máy
Xóa