Elastic vừa phát hành bản vá bảo mật để khắc phục một lỗ hổng nghiêm trọng trong Elastic Defend, thành phần bảo vệ điểm cuối thuộc bộ Elastic Security. Lỗ hổng mang mã CVE-2025-37735, bắt nguồn từ cơ chế bảo toàn quyền truy cập không chính xác, khiến dịch vụ Defend khi chạy với quyền SYSTEM có thể bị lợi dụng để xóa tệp tùy ý trên máy Windows. Trong một số kịch bản, hành vi này có thể dẫn đến leo thang đặc quyền cục bộ và cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống.
CVE-2025-37735 được đánh giá mức độ cao với điểm CVSS 7.0, phản ánh rủi ro đáng kể đối với tính toàn vẹn và bảo mật hệ thống. Khi một tiến trình bảo mật được cấp quyền cao nhất nhưng lại có thể bị thao túng, hậu quả không chỉ là mất dữ liệu mà còn mở ra cơ hội cho các cuộc tấn công sâu hơn. Đối với các doanh nghiệp đang sử dụng Elastic Defend như lớp phòng thủ tuyến đầu, việc lỗ hổng bị khai thác có thể gây ảnh hưởng nghiêm trọng tới toàn bộ hạ tầng nội bộ.
Elastic xác nhận các nhánh phiên bản 8.x và 9.x đều chịu ảnh hưởng và khuyến nghị người dùng nâng cấp ngay lên các phiên bản đã được vá gồm 8.19.6, 9.1.6 hoặc 9.2.0. Bản cập nhật tập trung sửa lỗi trong cơ chế quản lý quyền, nhằm ngăn chặn khả năng dịch vụ Defend bị lợi dụng để thao tác trái phép lên tệp hệ thống. Việc trì hoãn cập nhật sẽ làm gia tăng nguy cơ bị khai thác, đặc biệt trong trường hợp kẻ tấn công đã có quyền truy cập ban đầu thông qua các hình thức như lừa đảo hoặc khai thác lỗ hổng khác.
Trong trường hợp chưa thể cập nhật ngay, Elastic đề xuất sử dụng tạm thời Elastic Defend trên Windows 11 phiên bản 24H2 hoặc mới hơn, do hệ điều hành này đã bổ sung các cơ chế kiểm soát truy cập chặt chẽ hơn, giúp giảm khả năng khai thác. Tuy nhiên, đây chỉ là biện pháp giảm thiểu tạm thời và không thể thay thế cho việc áp dụng bản vá chính thức.
Elastic cũng khuyến cáo các tổ chức chủ động kiểm tra hệ thống, xác định các thiết bị đang chạy Elastic Defend và theo dõi các dấu hiệu bất thường như việc xóa tệp không rõ nguyên nhân. Việc duy trì phân quyền hợp lý, sao lưu định kỳ và cập nhật phần mềm kịp thời tiếp tục là những yếu tố then chốt để giảm thiểu rủi ro bảo mật trong môi trường an ninh mạng ngày càng phức tạp.
