- Một researcher (handle @cplearns2h4ck) vừa được MSRC credit công khai cho CVE-2025-47985 — bug untrusted pointer dereference (CWE-822) trong Windows Event Tracing cho phép local user leo thang lên SYSTEM qua LPC message giả.
- Điểm CVSS 7.8, vá tháng 7/2025.
TL;DR
CVE-2025-47985 là một lỗ hổng Elevation of Privilege trong Windows Event Tracing (ETW) do MSRC vá trong đợt Patch Tuesday tháng 7/2025. Bug thuộc lớp CWE-822 — Untrusted Pointer Dereference, CVSS 3.1 base 7.8 (High). Attacker chỉ cần tài khoản thường trên máy đã có thể gửi LPC message chứa con trỏ giả, ép kernel đọc/ghi vùng nhớ tuỳ ý rồi swap token để trở thành SYSTEM. MSRC vừa cập nhật advisory public, credit cho nhà nghiên cứu có handle @cplearns2h4ck.
What's new
Bug được report riêng cho MSRC trong năm 2025 và patch ship ngày 8/7/2025, nhưng chỉ gần đây advisory page của Microsoft mới công khai phần acknowledgement. Researcher tweet xác nhận nhiều bug mình disclose năm ngoái đã public, trong đó có CVE-2025-47985. Điều đáng chú ý: đây không phải race condition hay use-after-free như các ETW bug cũ — đây là bug pointer validation thuần trên biên LPC, cực hiếm gặp trong subsystem này.
Why it matters
ETW là xương sống của telemetry Windows — mọi tool EDR, mọi log security đều dựa vào nó. Bất kỳ local EoP nào trong ETW đều có hai hệ quả:
- Đường leo thang hợp pháp hoá: Attacker đã có foothold ở Medium IL (qua phishing, RCE trình duyệt) có thể chain sang CVE-2025-47985 để nhảy thẳng lên SYSTEM.
- Khả năng blind EDR: Một khi có SYSTEM + kernel R/W primitive, việc tắt hoặc cheat ETW provider của EDR trở nên khả thi — đúng cái subsystem bị khai thác lại là cái EDR tin tưởng.
Với enterprise còn chạy build July 2025 chưa patch, đây là rủi ro thực tế, không phải threat giả định.
Technical facts
| Property | Value |
|---|---|
| CVE | CVE-2025-47985 |
| Class | Elevation of Privilege |
| Weakness | CWE-822 — Untrusted Pointer Dereference |
| CVSS 3.1 base | 7.8 (High) |
| Vector | AV:L / AC:L / PR:L / UI:N / C:H / I:H / A:H |
| Component | Windows Event Tracing (ETW) kernel subsystem |
| Attack surface | Local Procedure Call (LPC) endpoint của ETW |
| Exploit status (tại thời điểm patch) | Không có PoC public, không exploit in-the-wild |
| Patch | Microsoft Patch Tuesday 8/7/2025 |
Cơ chế: attacker gửi LPC message có trường chứa con trỏ do mình kiểm soát. Kernel-mode code của ETW dereference con trỏ đó mà không validate thuộc vùng nhớ user hợp lệ. Kết quả là attacker có primitive arbitrary kernel read/write — từ đó tiêu chuẩn: đi tìm token của SYSTEM process, copy Token.Privileges, swap vào EPROCESS của attacker. Game over.
Comparison
Trong cụm EoP 7.8 CVSS của July 2025 Patch Tuesday có hàng chục bug kernel, nhưng đa phần ở AFD.sys (CVE-2025-49661), NTFS (CVE-2025-49678), hoặc Brokering File System (CVE-2025-49694) — các code path đã bị soi nhiều năm. CVE-2025-47985 khác ở chỗ:
- Không phải filesystem hay network driver — là subsystem observability.
- Root cause là pointer validation đơn thuần, không liên quan race/UAF.
- LPC boundary là attack surface nhỏ, hiếm tool fuzz chạm tới — nên bug kiểu này thường là phát hiện thủ công, code review sâu.
Use cases
- Post-exploitation chaining: phishing doc → Office RCE ở Medium IL → CVE-2025-47985 → SYSTEM → dump LSASS, disable Defender.
- Red team: tool tạo exploit cho internal assessment (với proper authorization) nhằm đánh giá coverage của EDR lên ETW provider.
- Defender research: phân tích để viết detection rule cho LPC call với pointer field bất thường đi vào ETW endpoint.
- Threat modeling: review lại mọi kernel LPC endpoint khác — CVE-2025-47985 là reminder rằng LPC vẫn là attack surface sống.
Limitations & pricing
- Yêu cầu local access — không phải remote exploit. Không ai pwned Windows qua mạng chỉ nhờ bug này.
- Không có public PoC tại thời điểm disclose; researcher chưa release exploit code. Hiện tại thế mạnh vẫn thuộc về defender nếu đã patch.
- Patch miễn phí qua Windows Update / WSUS. Các SKU ESU (Windows 10 extended) cũng nhận fix.
- Ảnh hưởng rộng: Windows 10 (1809, 20H2, 21H2, 22H2, LTSC), Windows 11 (22H2, 23H2, 24H2), Windows Server 2016/2019/2022/2025.
What's next
Bug này là dấu hiệu Microsoft còn phải hardening validation ở biên LPC của các subsystem telemetry. Dự đoán ngắn hạn: nhiều researcher sẽ quay lại soi ETW IOCTL/LPC handlers khác bằng kỹ thuật tương tự; có thể xuất hiện PoC public trong vài tháng tới khi patch đã triển khai rộng. Doanh nghiệp nên: (1) verify tất cả endpoint đã apply July 2025 rollup, (2) bật advanced audit cho LPC call bất thường nếu stack EDR hỗ trợ, (3) theo dõi researcher @cplearns2h4ck vì họ báo có thêm bug đã được acknowledge.
Nguồn: MSRC advisory, ZeroPath technical analysis, Rapid7 Patch Tuesday July 2025.
