Bảo vệ hệ thống của bạn ngay!

Zero-click exploit: Mối đe dọa nghiêm trọng leo thang 2025

Năm 2025 đánh dấu một bước ngoặt quan trọng trong lĩnh vực an ninh mạng, với sự phát triển đáng chú ý của các kỹ thuật khai thác không yêu cầu tương tác người dùng, hay còn gọi là zero-click exploit. Các kỹ thuật này đã thay đổi sâu sắc cách chúng ta nhìn nhận về bảo mật kỹ thuật số.

Không giống như các cuộc tấn công truyền thống đòi hỏi sự tương tác của người dùng, chẳng hạn như nhấp vào liên kết độc hại hoặc tải xuống tệp bị nhiễm, các zero-click exploit hoạt động âm thầm, bí mật xâm nhập thiết bị mà nạn nhân không hề hay biết.

Sự Tiến Hóa của Khai Thác Không Yêu Cầu Tương Tác (Zero-Click Exploits)

Định Nghĩa và Tác Động

Năm 2025 ghi nhận ít nhất 14 lỗ hổng zero-click nghiêm trọng ảnh hưởng đến hàng tỷ thiết bị trên toàn cầu. Điều này phơi bày một thực tế đáng báo động: bề mặt tấn công đã mở rộng ra ngoài phạm vi lỗi do con người gây ra, len lỏi vào các quy trình tự động mà chúng ta tin tưởng tuyệt đối.

Sự tinh vi và quy mô của các cuộc tấn công zero-click trong năm 2025 thể hiện một sự thay đổi mô hình, nơi sự tiện lợi đã trở thành lỗ hổng. Các tính năng vô hình được thiết kế để mang lại trải nghiệm người dùng liền mạch đã biến thành những cửa ngõ im lặng cho các mối đe dọa dai dẳng nâng cao (APT).

Thống Kê Lỗ Hổng và Thời Gian Khai Thác

Nhóm Threat Intelligence của Google đã ghi nhận 75 lỗ hổng zero-day bị khai thác tích cực trong năm 2024. Xu hướng này tiếp tục tăng tốc vào năm 2025 khi kẻ tấn công chuyển hướng sang cơ sở hạ tầng doanh nghiệp.

Chỉ trong nửa đầu năm 2025, hơn 21.500 CVE mới đã được công bố, tăng 18% so với năm trước. Đáng báo động hơn, khoảng thời gian “thời gian khai thác” (time to exploit) đã rút ngắn xuống trung bình chỉ còn năm ngày vào năm 2024, giảm từ 32 ngày trong những năm trước. Điều này khiến các chu kỳ vá lỗi truyền thống hàng tháng trở nên lỗi thời một cách nguy hiểm.

Sự tăng tốc này phản ánh các quy trình tự động hóa tinh vi được triển khai bởi các nhóm, nhà cung cấp phần mềm giám sát thương mại (CSVs) và các nhóm ransomware cao cấp, những đối tượng đã công nghiệp hóa quy trình khai thác.

Các lỗ hổng zero-click, từng chỉ dành cho những đối tượng tinh hoa trong hoạt động gián điệp mạng, đã trở thành vũ khí được lựa chọn trên toàn bộ phổ mối đe dọa, bao gồm cả phần mềm gián điệp như Pegasus.

Các Lỗ Hổng Zero-Click Nổi Bật Năm 2025 trên Nền Tảng Di Động

Hệ Sinh Thái Apple: iOS và macOS

Hệ sinh thái của Apple, từ lâu được coi là một pháo đài an ninh, đã phải đối mặt với các cuộc tấn công không ngừng trong suốt năm 2025.

CVE-2025-43300 và Chuỗi Tấn Công WhatsApp

Lỗ hổng CVE-2025-43300, được công bố vào tháng 8, tiết lộ một lỗ hổng ghi ngoài giới hạn (out-of-bounds write) nghiêm trọng trong framework ImageIO, ảnh hưởng đến iOS, iPadOS và macOS. Lỗi này cho phép thực thi mã từ xa không yêu cầu tương tác (remote code execution zero-click) thông qua các hình ảnh DNG độc hại được gửi qua các ứng dụng nhắn tin, không đòi hỏi bất kỳ tương tác nào của người dùng. Để tìm hiểu thêm về phân tích bản vá, tham khảo phân tích của Quarkslab.

Lỗ hổng này trở nên đặc biệt nguy hiểm khi được kết hợp với CVE-2025-55177, một lỗ hổng WhatsApp liên quan đến việc ủy quyền không đầy đủ các tin nhắn đồng bộ hóa thiết bị đã liên kết.

Cùng với nhau, các khai thác này đã hình thành một chuỗi tấn công zero-click exploit tàn khốc, nhắm mục tiêu vào các nhà báo và nhà hoạt động xã hội trên khắp châu Âu và Trung Đông. WhatsApp xác nhận rằng chưa đến 200 người dùng đã bị nhắm mục tiêu trong các chiến dịch phần mềm gián điệp tinh vi, bao gồm cả những người bảo vệ nhân quyền và chuyên gia truyền thông. Thông tin chi tiết có tại bài viết của Fieldeffect.

CVE-2025-43200 và Phần Mềm Gián Điệp Graphite

Phần mềm gián điệp Graphite của Paragon Solutions đã khai thác CVE-2025-43200, một lỗi logic trong iOS cho phép các ảnh hoặc video được tạo độc hại chia sẻ qua iCloud Links kích hoạt remote code execution mà không yêu cầu tương tác người dùng.

Phân tích pháp y của Citizen Lab đã xác nhận với độ tin cậy cao rằng các nhà báo châu Âu đã bị xâm phạm khi đang sử dụng iOS 18.2.1, một hệ thống được cập nhật đầy đủ tại thời điểm lây nhiễm. Apple đã vá lỗ hổng này trong iOS 18.3.1, nhưng việc công khai chậm trễ cho đến tháng 6 năm 2025 đã làm nổi bật động lực mèo vờn chuột của chiến tranh mạng hiện đại. Xem thêm tại báo cáo của Citizen Lab.

Lỗ Hổng NICKNAME (imagent process)

Lỗ hổng NICKNAME, được iVerify phát hiện vào tháng 6 năm 2025, đã phơi bày một lỗi hỏng bộ nhớ sử dụng sau khi giải phóng (use-after-free) trong tiến trình imagent của iOS.

Được kích hoạt bởi các bản cập nhật biệt danh gửi liên tục qua iMessage, zero-click exploit này xuất hiện trong chưa đến 0.001% nhật ký sự cố nhưng lại ảnh hưởng không cân xứng đến các cá nhân nổi bật, bao gồm các nhân vật chính trị, nhà báo và giám đốc điều hành công ty AI. Mặc dù Apple đã vá lỗi này trong iOS 18.3, bằng chứng pháp y cho thấy sự khai thác tích cực nhắm mục tiêu vào các cá nhân liên quan đến các hoạt động đi ngược lại lợi ích. Thông tin từ blog iVerify.

Thiết Bị Samsung Galaxy: CVE-2025-21042 và LANDFALL Spyware

Các thiết bị Samsung Galaxy cũng không được miễn trừ. CVE-2025-21042, bị khai thác như một lỗ hổng zero-day trước bản vá tháng 4 năm 2025 của Samsung, đã phân phối phần mềm gián điệp LANDFALL thông qua các tệp hình ảnh DNG độc hại được gửi qua WhatsApp.

Phần mềm gián điệp Android cấp thương mại này nhắm mục tiêu vào các thiết bị hàng đầu, bao gồm dòng Galaxy S22-S24, cho phép các khả năng giám sát toàn diện, bao gồm ghi âm cuộc gọi, theo dõi vị trí và rò rỉ tin nhắn, tất cả đều không có sự nhận biết của người dùng.

Khai Thác Zero-Click trên Hạ Tầng Doanh Nghiệp và AI

Microsoft Outlook: CVE-2025-21298

Trong khi các nền tảng di động thống trị các tiêu đề, cơ sở hạ tầng doanh nghiệp nổi lên như một địa điểm săn tìm ưa thích của kẻ tấn công.

CVE-2025-21298, một lỗ hổng CVE Windows OLE với điểm CVSS là 9.8, đã cho phép thực thi mã từ xa không yêu cầu tương tác (zero-click remote code execution) thông qua các tài liệu RTF được tạo đặc biệt trong Microsoft Outlook.

Khi nạn nhân mở hoặc thậm chí xem trước các email độc hại, lỗ hổng sẽ tự động kích hoạt, cấp cho kẻ tấn công toàn quyền truy cập hệ thống. Xem chi tiết tại blog của Offensive Security.

Hệ Sinh Thái AI: EchoLeak (Microsoft 365 Copilot) và ShadowLeak (ChatGPT)

Hệ sinh thái AI của Microsoft cũng không miễn nhiễm. CVE-2025-32711, được đặt tên là EchoLeak, đại diện cho lỗ hổng zero-click đầu tiên chống lại một tác nhân AI.

Được phát hiện trong Microsoft 365 Copilot, lỗ hổng nghiêm trọng này (CVSS 9.3) cho phép kẻ tấn công đánh cắp dữ liệu tổ chức nhạy cảm chỉ bằng cách gửi một email được tạo độc hại, không cần người dùng nhấp vào.

Lỗ hổng đã khai thác cách công cụ tạo phản hồi tăng cường truy xuất (retrieval-augmented generation engine) của Copilot trộn lẫn đầu vào bên ngoài không đáng tin cậy với dữ liệu nội bộ có đặc quyền, tạo ra một con đường rò rỉ dữ liệu tự động thông qua các tham chiếu hình ảnh nhúng.

Đặc biệt, tác nhân Deep Research của OpenAI ChatGPT đã trở thành nạn nhân của ShadowLeak, một lỗ hổng zero-click phía máy chủ cho phép đánh cắp dữ liệu Gmail một cách âm thầm.

Khi được kết nối với Gmail và duyệt web, một email độc hại duy nhất chứa các lệnh tiêm lời nhắc ẩn (hidden prompt injection commands) có thể kích hoạt tác nhân AI tự động đánh cắp thông tin hộp thư đến nhạy cảm trực tiếp từ cơ sở hạ tầng đám mây của OpenAI, không để lại dấu vết mạng nào cho các biện pháp phòng thủ doanh nghiệp phát hiện.

Giao Thức Apple AirPlay: Dòng Lỗ Hổng AirBorne

Giao thức AirPlay của Apple chứa một họ gồm 17 lỗ hổng được gọi chung là AirBorne. Sự kết hợp nguy hiểm nhất của CVE-2025-24252 và CVE-2025-24206 cho phép thực thi mã từ xa không yêu cầu tương tác (zero-click remote code execution) trên các thiết bị macOS được kết nối cùng mạng.

Điều làm cho những lỗ hổng này đặc biệt đáng sợ là bản chất có khả năng lây lan (wormable) của chúng: mã độc có thể tự động lan truyền từ thiết bị này sang thiết bị khác mà không cần bất kỳ tương tác nào của con người.

CVE-2025-24132 đã mở rộng mối đe dọa này sang các thiết bị của bên thứ ba sử dụng AirPlay SDK, bao gồm loa thông minh và hệ thống CarPlay.

CVE-2025-55182: Khai Thác React2Shell với CVSS 10.0

Lỗ hổng React2Shell (CVE-2025-55182) đã nhận được điểm CVSS hoàn hảo là 10.0, cho thấy một lỗi thực thi mã từ xa không xác thực, nghiêm trọng trong React Server Components và Next.js. Xem phân tích chi tiết của Cymulate.

Ảnh hưởng đến các phiên bản React 19.x và Next.js 15.x/16.x, lỗ hổng khử tuần tự hóa không an toàn này cho phép kẻ tấn công thực thi mã tùy ý thông qua một yêu cầu HTTP độc hại duy nhất, làm xâm nhập hàng trăm máy móc trên các tổ chức đa dạng.

Vai Trò của Các Nhà Cung Cấp Phần Mềm Gián Điệp Thương Mại

Các nhà cung cấp phần mềm gián điệp thương mại đã hoạt động như các động cơ phổ biến trong suốt năm 2025, hạ thấp rào cản đối với các khả năng zero-click exploit tinh vi.

Phần mềm gián điệp Pegasus của NSO Group tiếp tục phát triển với các phương pháp zero-click, mặc dù các nhà điều hành của nó phải đối mặt với hậu quả pháp lý bao gồm khoản phạt 167 triệu đô la từ WhatsApp.

Nền tảng Graphite của Paragon đã chứng minh rằng nhiều nhà cung cấp thương mại hiện sở hữu khả năng khai thác zero-click iPhone, làm thay đổi cơ bản bối cảnh mối đe dọa cho các mục tiêu có giá trị cao. Thêm thông tin tại Infosecurity Magazine.

Các Bài Học và Biện Pháp Phòng Ngừa

Năm 2025 đã mang lại những bài học khắc nghiệt.

• Thứ nhất, các cuộc tấn công zero-click exploit không còn là lý thuyết; chúng đại diện cho các mối đe dọa đang hoạt động, đang phát triển, nhắm mục tiêu vào các cá nhân và tổ chức cụ thể với độ chính xác cao.
• Thứ hai, tốc độ vá lỗi là rất quan trọng: khoảng thời gian khai thác năm ngày đòi hỏi các cơ chế cập nhật tự động, tức thì.
• Thứ ba, các chiến lược phòng thủ chuyên sâu vẫn cần thiết vì các biện pháp phòng thủ chu vi đơn thuần không thể ngăn chặn sự xâm nhập zero-click. Để hiểu rõ hơn về thống kê lỗ hổng, tham khảo Deepstrike.io.

Tốc Độ Vá Lỗi và Kiến Trúc Zero-Trust

Các tổ chức phải áp dụng vá lỗi dựa trên rủi ro, ưu tiên các lỗ hổng CVE bị khai thác tích cực. Đồng thời, cần triển khai kiến trúc zero-trust giới hạn chuyển động ngang, triển khai phân tích hành vi để phát hiện các hoạt động sau xâm nhập, và kích hoạt các biện pháp bảo vệ dành riêng cho nền tảng, chẳng hạn như Chế độ Khóa iOS (iOS Lockdown Mode), cho người dùng có rủi ro cao.

Cơ Chế Phòng Thủ Chuyên Biệt

Khi chúng ta khép lại năm 2025, thông điệp là không thể nhầm lẫn: các zero-click exploit đã chuyển đổi từ công cụ gián điệp tinh hoa thành các vector tấn công chủ đạo.

Các tính năng tiện lợi hỗ trợ cuộc sống số của chúng ta – phân tích tin nhắn tự động, xử lý giao thức liền mạch và các tác nhân AI thông minh – đã trở thành con dao hai lưỡi.

Phòng thủ chống lại thực tế mới này đòi hỏi phải suy nghĩ lại về bảo mật từ các nguyên tắc cơ bản, nơi lòng tin được xác minh liên tục và mọi quy trình tự động đều được coi là một vector tấn công tiềm năng.

_{Nguồn : https://adsecvn.com/zero-click-exploit-moi-de-doa-nghiem-trong-leo-thang-2025/}