Lỗ hổng CVE nghiêm trọng trên Microsoft Excel đe dọa người dùng Microsoft 365 và Office
- Evelyn Carter

- 1 thg 7
- 6 phút đọc
Một lỗ hổng CVE nghiêm trọng trong Microsoft Excel đang được cảnh báo vì có thể bị khai thác thông qua tệp bảng tính độc hại. Theo thông tin từ Microsoft và các nguồn cảnh báo bảo mật, lỗ hổng được định danh là CVE-2025-60727, thuộc nhóm thực thi mã từ xa trong hệ sinh thái Office.
Điểm đáng chú ý là cuộc tấn công không cần kẻ xấu đăng nhập trước vào hệ thống hay có đặc quyền nâng cao. Tuy nhiên, nạn nhân cần mở một tệp Excel được tạo đặc biệt. Đây là kiểu kịch bản thường xuất hiện trong các chiến dịch lừa đảo, nơi tài liệu Office được dùng để đánh lừa người dùng tải xuống và mở tệp.
Lỗ hổng CVE nghiêm trọng CVE-2025-60727 là gì?
Lỗ hổng CVE nghiêm trọng CVE-2025-60727 là lỗi trong Microsoft Office Excel có thể cho phép kẻ tấn công thực thi mã trên máy nạn nhân. Theo NVD, lỗi này thuộc nhóm out-of-bounds read, tương ứng với CWE-125. Nói đơn giản, Excel có thể đọc dữ liệu vượt ra ngoài vùng bộ nhớ được cấp phát khi xử lý một tệp được chế tạo đặc biệt.
Khi hành vi đọc bộ nhớ ngoài vùng an toàn xảy ra, ứng dụng có thể xử lý dữ liệu sai cách. Nếu tệp được kẻ tấn công chuẩn bị đủ tinh vi, lỗi này có thể bị lợi dụng để điều khiển luồng thực thi. Đây là lý do CVE-2025-60727 được xếp vào nhóm rủi ro đáng chú ý đối với người dùng Microsoft Office.

Vì sao lỗ hổng CVE nghiêm trọng này đáng lo ngại?
Lỗ hổng CVE nghiêm trọng này đáng lo vì người dùng chỉ cần mở một tệp Excel độc hại là có thể tạo điều kiện cho mã độc chạy. Theo mô tả từ NVD, lỗ hổng không yêu cầu xác thực và không cần đặc quyền từ phía kẻ tấn công, nhưng cần có tương tác người dùng.
Điều này khiến CVE-2025-60727 phù hợp với các tình huống tấn công lừa đảo qua email hoặc chia sẻ tài liệu giả mạo. Người dùng có thể nhận tệp Excel dưới dạng hóa đơn, báo cáo, bảng dữ liệu hoặc tài liệu công việc. Nếu mở tệp trên hệ thống chưa được vá, nguy cơ bị khai thác sẽ tăng lên.
Nguyên nhân kỹ thuật của lỗ hổng nằm ở đâu?
Nguyên nhân của lỗ hổng CVE nghiêm trọng này nằm ở cách Microsoft Excel phân tích cú pháp các tệp có cấu trúc bất thường. Bài viết trên WhiteHat.vn cho biết CVE-2025-60727 được phân loại là lỗi đọc ngoài vùng đệm, liên quan đến cách Excel xử lý các cấu trúc tệp được chế tạo đặc biệt.
Cụ thể, Excel có thể xác thực chưa đầy đủ các giá trị như độ dài và độ lệch trong quá trình đọc tệp. Khi tài liệu có cấu trúc bị làm sai lệch, ứng dụng có thể truy cập vào vùng bộ nhớ ngoài phạm vi dự kiến. Với người dùng phổ thông, có thể hiểu đây là tình huống Excel “đọc nhầm” dữ liệu trong bộ nhớ máy tính.
Kẻ tấn công có thể khai thác CVE-2025-60727 như thế nào?
Kẻ tấn công có thể khai thác lỗ hổng CVE nghiêm trọng này bằng cách tạo một tệp Excel độc hại rồi dụ nạn nhân mở tệp. Cuộc tấn công không yêu cầu tài khoản hợp lệ trên hệ thống và cũng không cần quyền quản trị từ trước.
Sau khi tệp được mở, cấu trúc dữ liệu bất thường trong tài liệu có thể kích hoạt lỗi xử lý bộ nhớ của Excel. Nếu khai thác thành công, mã độc có thể chạy trong tiến trình Excel với quyền của người dùng hiện tại. Từ đó, kẻ tấn công có thể đánh cắp dữ liệu, cài mã độc hoặc thiết lập cơ chế duy trì hiện diện trên thiết bị.
Những phiên bản Microsoft Office nào bị ảnh hưởng?
Lỗ hổng CVE nghiêm trọng CVE-2025-60727 ảnh hưởng đến nhiều sản phẩm Microsoft Office đang được sử dụng rộng rãi. Các sản phẩm bị ảnh hưởng gồm Microsoft 365 Apps, Excel 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 và Office Online Server.
Microsoft cũng có trang hướng dẫn cập nhật bảo mật riêng cho CVE-2025-60727 trong Security Update Guide. Do Microsoft 365 và Office được dùng phổ biến trong doanh nghiệp, trường học và người dùng cá nhân, phạm vi ảnh hưởng tiềm tàng của lỗ hổng này là rất lớn.

Dấu hiệu nào cho thấy Excel có thể đang bị lợi dụng?
Dấu hiệu cần chú ý là Excel xuất hiện hành vi bất thường ngay sau khi mở một tài liệu. Các đội ngũ an ninh có thể theo dõi trường hợp Excel khởi tạo tiến trình con lạ, chẳng hạn command shell hoặc scripting engine.
Ngoài ra, Excel có thể tạo kết nối mạng đi đáng ngờ ngay sau khi mở tệp. Hệ thống cũng có thể ghi nhận báo cáo treo ứng dụng, crash report hoặc lỗi access violation khi Excel xử lý tài liệu có cấu trúc bất thường. Những dấu hiệu này không khẳng định chắc chắn đã bị khai thác, nhưng cần được xem xét trong quá trình điều tra bảo mật.
Doanh nghiệp nên làm gì để giảm rủi ro từ lỗ hổng này?
Doanh nghiệp nên ưu tiên cập nhật bản vá bảo mật cho Microsoft Office và kiểm soát chặt các tệp Excel đến từ bên ngoài. Microsoft đã phát hành hướng dẫn cập nhật bảo mật cho CVE-2025-60727 trên MSRC, vì vậy các tổ chức cần rà soát phiên bản Office đang sử dụng và triển khai bản vá phù hợp.
Bên cạnh vá lỗi, nên bật Protected View cho tệp có nguồn gốc từ Internet, chặn macro và nội dung bên ngoài trong tài liệu Office, áp dụng Attack Surface Reduction rules và tăng cường bộ lọc email. Các biện pháp này giúp giảm nguy cơ tệp độc hại đến tay người dùng hoặc thực thi thành công sau khi được mở.
Người dùng cá nhân cần lưu ý điều gì?
Người dùng cá nhân nên tránh mở tệp Excel từ nguồn không đáng tin cậy, đặc biệt là tệp đính kèm trong email hoặc tin nhắn lạ. Người dùng cũng nên bật cập nhật tự động cho Microsoft Office và không tắt Protected View nếu không thực sự cần thiết. Khi một tệp yêu cầu bật macro, bật nội dung hoặc tải dữ liệu bên ngoài, cần đặc biệt thận trọng.
Người dùng Microsoft 365 và Office nên nhanh chóng cài đặt bản vá bảo mật, hạn chế mở tệp không rõ nguồn gốc và duy trì các lớp bảo vệ như Protected View, lọc email và giám sát hành vi bất thường. Với CVE-2025-60727, phòng ngừa sớm là cách tốt nhất để giảm nguy cơ bị khai thác.
Giải pháp nào cho việc bảo vệ “lá chắn số” của doanh nghiệp?
Để bảo vệ hệ thống công nghệ thông tin và nâng cao năng lực an toàn thông tin trước các chiến dịch tấn công nhắm mục tiêu tinh vi. IPSIP Việt Nami cung cấp các giải pháp bảo mật toàn diện, giám sát an ninh mạng chuyên nghiệp và dịch vụ ứng cứu sự cố kịp thời, giúp doanh nghiệp vững tâm phát triển kinh doanh.

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm.
Nguồn tham khảo










Bình luận