Microsoft vá lỗ hổng nghiêm trọng của Azure AI Face Service bằng CVSS 9.9 Score

Microsoft đã phát hành bản vá để giải quyết hai lỗ hổng bảo mật được đánh giá là Nghiêm trọng ảnh hưởng đến Azure AI Face Service và Tài khoản Microsoft, có thể cho phép kẻ tấn công leo thang đặc quyền trong một số điều kiện nhất định.

Vào ngày 4 tháng 2 năm 2025, Microsoft đã phát hành các bản vá để khắc phục hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Azure AI Face Service và Microsoft Account, cho phép kẻ tấn công có thể leo thang đặc quyền trong một số điều kiện nhất định.

Các lỗi được vá lỗi liệt kê bên dưới -

CVE-2025-21396 (Điểm CVSS: 7,5) - Lỗ hổng nâng cao đặc quyền của Tài khoản Microsoft

CVE-2025-21415 (Điểm CVSS: 9,9) - Lỗ hổng nâng cao đặc quyền của Dịch vụ Azure AI Face

Lỗ hổng đầu tiên, được định danh là CVE-2025-21396 với điểm CVSS 7.5, là lỗ hổng leo thang đặc quyền trong Microsoft Account. Lỗ hổng này xuất phát từ việc thiếu xác thực, có thể cho phép kẻ tấn công không được ủy quyền leo thang đặc quyền qua mạng. Nhà nghiên cứu bảo mật có biệt danh Sugobet đã được ghi nhận vì phát hiện ra lỗ hổng này.

Lỗ hổng thứ hai, CVE-2025-21415 với điểm CVSS 9.9, là lỗ hổng leo thang đặc quyền trong Azure AI Face Service. Theo Microsoft, "việc bỏ qua xác thực bằng cách giả mạo trong Azure AI Face Service cho phép kẻ tấn công được ủy quyền leo thang đặc quyền qua mạng". Một nhà nghiên cứu ẩn danh đã báo cáo lỗ hổng này.

Microsoft cũng lưu ý rằng họ đã biết về sự tồn tại của mã khai thác bằng chứng khái niệm (PoC) cho CVE-2025-21415 và cả hai lỗ hổng đã được khắc phục hoàn toàn. Các thiếu sót này không yêu cầu hành động từ phía khách hàng.

Những thông báo này là một phần trong nỗ lực liên tục của Microsoft nhằm cải thiện tính minh bạch bằng cách phát hành CVE cho các lỗ hổng dịch vụ đám mây quan trọng, bất kể khách hàng có cần cài đặt bản vá hoặc thực hiện các hành động khác để tự bảo vệ hay không. Microsoft nhấn mạnh rằng việc chia sẻ công khai thông tin về các lỗ hổng được phát hiện và giải quyết giúp Microsoft và các đối tác học hỏi và cải thiện, góp phần vào sự an toàn và khả năng phục hồi của cơ sở hạ tầng quan trọng.

Hương - Theo TheHackerNews