
Theo Microsoft, CVE-2025-60727 được phân loại là lỗ hổng đọc bộ nhớ ngoài vùng biên, phát sinh từ cách Excel xử lý các tệp có cấu trúc dữ liệu bất thường. Khi người dùng mở một tệp được thiết kế đặc biệt, ứng dụng có thể truy cập dữ liệu nằm ngoài phạm vi bộ nhớ dự kiến, tạo điều kiện để tin tặc can thiệp vào quá trình xử lý và thực thi mã độc trên thiết bị nạn nhân. Lỗ hổng ảnh hưởng đến hàng loạt sản phẩm phổ biến, bao gồm Microsoft 365 Apps, Excel 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 và Office Online Server.
Theo Microsoft, lỗ hổng xuất phát từ cách Excel xử lý một số dữ liệu bất thường bên trong tệp tin. Tin tặc có thể tạo ra một tệp Excel được thiết kế đặc biệt để đánh lừa ứng dụng trong quá trình đọc và xử lý dữ liệu. Khi đó, Excel có thể truy cập vào những vùng nhớ ngoài phạm vi dự kiến, tạo cơ hội cho mã độc được thực thi trên hệ thống của nạn nhân. Chính cơ chế này cho phép kẻ tấn công biến một tệp Excel tưởng như bình thường thành công cụ phát động tấn công.
Sau khi giành được quyền thực thi mã trên thiết bị nạn nhân, tin tặc có thể đánh cắp thông tin, triển khai mã độc hoặc âm thầm thiết lập chỗ đứng bên trong hệ thống. Với các tổ chức và doanh nghiệp, đây có thể trở thành mắt xích đầu tiên trong một cuộc tấn công lớn hơn. Chỉ từ một tệp Excel độc hại được mở trên máy trạm, kẻ tấn công có thể từng bước mở rộng phạm vi xâm nhập, tiếp cận các hệ thống quan trọng và gây ra những thiệt hại nghiêm trọng hơn.
Microsoft khuyến nghị các tổ chức tăng cường theo dõi hoạt động của Excel để kịp thời phát hiện những dấu hiệu khai thác bất thường. Đáng chú ý, Excel tự động khởi chạy các chương trình như Command Prompt, PowerShell hoặc các công cụ thực thi lệnh khác dù người dùng chỉ mở một tệp tài liệu thông thường. Đây có thể là dấu hiệu cho thấy mã độc đang lợi dụng lỗ hổng để thực hiện các lệnh trên hệ thống.
Bên cạnh đó, các kết nối mạng phát sinh từ Excel ngay sau khi tài liệu được mở cũng cần được giám sát chặt chẽ, đặc biệt nếu chúng hướng tới các máy chủ hoặc tên miền không xác định.
Trong nhiều trường hợp, đây có thể là dấu hiệu cho thấy mã độc đang liên lạc với hạ tầng điều khiển của kẻ tấn công hoặc tải thêm thành phần độc hại về thiết bị. Ngoài các dấu hiệu trên, những hiện tượng như Excel đột ngột bị treo, gặp lỗi hoặc phát sinh sự cố khi xử lý các tệp tin bất thường cũng không nên bị xem nhẹ.
Microsoft cho rằng việc kết hợp giám sát hành vi trên thiết bị đầu cuối với phân tích nhật ký hệ thống và lưu lượng mạng sẽ giúp các tổ chức nâng cao khả năng phát hiện sớm các cuộc tấn công, hạn chế nguy cơ kẻ tấn công lợi dụng một tệp Excel độc hại để mở rộng phạm vi xâm nhập trong mạng nội bộ.
Để giảm nguy cơ bị khai thác, Microsoft đã phát hành các bản cập nhật khắc phục cho toàn bộ sản phẩm bị ảnh hưởng và khuyến nghị người dùng, doanh nghiệp sớm triển khai bản vá trên hệ thống. Mặc dù hiện chưa ghi nhận chiến dịch khai thác thực tế nào nhắm vào CVE-2025-60727, nhưng đây là lỗ hổng có mức độ rủi ro cao do phương thức tấn công hoàn toàn tương đồng với các chiến dịch tấn công và phát tán mã độc qua tài liệu Office vốn đã được sử dụng rộng rãi trong nhiều năm qua. Với phạm vi ảnh hưởng lớn và khả năng thực thi mã trên hệ thống nạn nhân.
Theo antoanthongtin.vn