Microsoft đã xử lý một lỗ hổng nghiêm trọng (CVE-2025-21298) trong bản cập nhật Patch Tuesday mới nhất cho năm 2025. Lỗ hổng được đánh giá với điểm CVSS là 9.8/10, cho phép kẻ tấn công thực hiện thực thi mã từ xa (RCE) trên các thiết bị Windows thông qua một email đặc biệt.
Lỗ hổng nằm ở trong Windows Object Linking and Embedding (OLE), công nghệ cho phép nhúng và liên kết các tài liệu cũng như các đối tượng. Microsoft giải thích: “Việc khai thác lỗ hổng này có thể do nạn nhân mở một email nguy hiểm bằng phiên bản Microsoft Outlook bị ảnh hưởng, hoặc ứng dụng Outlook của nạn nhân hiển thị bản xem trước của email đó.” Kịch bản khai thác này nhấn mạnh tính chất rủi ro cao của lỗ hổng.
Kẻ tấn công lợi dụng lỗ hổng này bằng cách gửi một email độc hại đến người dùng. Nếu email được mở hoặc xem trước trong Microsoft Outlook, đối tượng OLE nhúng có thể kích hoạt thực thi mã từ xa trên máy của nạn nhân. Loại tấn công này không yêu cầu tương tác nào từ phía người dùng ngoài việc xem email, khiến nó đặc biệt nguy hiểm.
Microsoft đã cung cấp một số giải pháp thay thế để giảm thiểu rủi ro khai thác cho những người dùng chưa thể ngay lập tức áp dụng bản vá:
- Đọc email ở định dạng văn bản thuần túy (Plain Text Format): Cấu hình Microsoft Outlook để hiển thị email ở định dạng văn bản thuần giúp giảm nguy cơ kích hoạt các đối tượng OLE độc hại. Tuy nhiên, điều này có thể ảnh hưởng đến khả năng sử dụng, vì nội dung phong phú như hình ảnh và phông chữ đặc biệt sẽ không hiển thị chính xác. Thông tin chi tiết về cách cấu hình Outlook để đọc email dưới dạng văn bản thuần, tham khảo tài liệu của Microsoft về Read email messages in plain text.
- Tránh các tệp RTF từ nguồn không đáng tin cậy: Người dùng được khuyến cáo nên cẩn trọng với các email chứa tệp đính kèm hoặc nội dung Rich Text Format (RTF) từ các nguồn không xác định.
- Áp dụng nguyên tắc tối thiểu hóa quyền (Principle of Least Privilege): Hạn chế quyền người dùng để giảm thiểu tác động của việc khai thác thành công.
