Một nhà nghiên cứu ẩn danh, được biết đến với bí danh Nightmare Eclipse, đã công bố một bằng chứng khái niệm (PoC) mới có tên là RoguePlanet. Lỗ hổng này nhắm mục tiêu vào một lỗ hổng race condition chưa được tiết lộ trước đó trong Microsoft Windows Defender. Khi khai thác thành công, mã này sẽ mở một cửa sổ dòng lệnh với các đặc quyền cấp SYSTEM, mang lại cho kẻ tấn công quyền truy cập cao nhất trên hệ thống Windows bị xâm nhập.
Phân tích Lỗ hổng RoguePlanet
RoguePlanet là một loại lỗ hổng leo thang đặc quyền cục bộ (LPE) lạm dụng một race condition trong logic xử lý nội bộ của Microsoft Defender. Người dùng tiêu chuẩn, không có đặc quyền có thể lợi dụng lỗ hổng này để chuyển hướng một thao tác tệp mà Defender thực hiện. Lợi dụng việc Defender chạy với quyền SYSTEM, kẻ tấn công có thể thực thi mã do họ kiểm soát ở mức đặc quyền cao nhất.
Chi tiết kỹ thuật và ảnh hưởng
Lỗ hổng này là một TOCTOU (Time-of-Check to Time-of-Use) race condition. Đây là một lớp lỗ hổng mà Nightmare Eclipse trước đây đã khai thác trong lỗ hổng BlueHammer (CVE-2026-33825) với điểm CVSS 7.8 (Cao). Microsoft đã vá lỗ hổng này vào tháng 4 năm 2026.
Trong trường hợp BlueHammer, công cụ khắc phục tệp của Defender đã thực hiện các thao tác ghi có đặc quyền mà không khóa chặt việc xác thực đường dẫn tệp. Điều này cho phép kẻ tấn công chèn các điểm nối NTFS (NTFS junction points) để chuyển hướng các thao tác ghi của Defender, vốn có quyền SYSTEM, vào thư mục C:\Windows\System32.
RoguePlanet sử dụng một chiến lược chuyển hướng đường dẫn tương tự, cho thấy rằng các nỗ lực của Microsoft nhằm củng cố Defender chống lại lớp tấn công này vẫn chưa hoàn chỉnh.
Phạm vi ảnh hưởng của RoguePlanet
Cuộc tấn công khai thác này đã được xác nhận hoạt động trên các hệ thống Windows 10 và Windows 11 đã được vá đầy đủ, bao gồm cả các kênh Insider Preview chính thức ổn định và Canary, với bản vá tháng 6 năm 2026 đã được áp dụng.
Các cài đặt Windows Server cũng được coi là có thể bị tổn thương. Tuy nhiên, PoC hiện tại không hoạt động trong môi trường này vì người dùng tiêu chuẩn không thể gắn hình ảnh ISO, một điều kiện tiên quyết của chuỗi khai thác cụ thể này.
Sự thành công của RoguePlanet có thể thay đổi tùy theo môi trường. Nhà nghiên cứu ghi nhận tỷ lệ thành công 100% trên một số máy, trong khi lỗ hổng gặp khó khăn trên các máy khác do tính không ổn định cố hữu của race condition.
Bối cảnh và các lỗ hổng liên quan
RoguePlanet là lỗ hổng mới nhất trong một loạt các lỗ hổng zero-day được công bố bởi Nightmare Eclipse. Kể từ đầu tháng 4 năm 2026, nhà nghiên cứu này đã tiết lộ ít nhất bảy lỗ hổng liên quan đến Defender, bao gồm BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma và MiniPlasma.
Chiến dịch này được mô tả rộng rãi bởi các nhà nghiên cứu bảo mật như một nỗ lực trả đũa sau các tranh chấp với Microsoft liên quan đến việc công bố lỗ hổng một cách có trách nhiệm và việc chấm dứt tài khoản.
Các nhà nghiên cứu của Huntress đã ghi nhận các cuộc xâm nhập thực tế sử dụng các công cụ trước đó từ nhà nghiên cứu này. BlueHammer, RedSun và công cụ gây rối Defender UnDefend đã được quan sát thấy trong các chuỗi tấn công trực tiếp.
Các lỗ hổng Defender trước đó của Nightmare Eclipse
Các lỗ hổng trước đó được công bố bởi cùng một nhà nghiên cứu đã cho thấy một mô hình khai thác tương tự nhắm vào Windows Defender. Ví dụ, BlueHammer (CVE-2026-33825) đã khai thác một lỗ hổng tương tự để đạt được đặc quyền cao hơn.
Thông tin về lỗ hổng và khuyến nghị
Microsoft vẫn chưa đưa ra mã CVE hoặc thông báo công khai cho RoguePlanet tại thời điểm công bố. Do các công cụ trước đó của Nightmare Eclipse đang bị khai thác tích cực ngoài thực tế, các tổ chức vận hành các điểm cuối Windows 10 hoặc Windows 11 nên xem xét việc tiết lộ này là ưu tiên cao.
Cần theo dõi chặt chẽ Microsoft Security Update Guide để có bản vá khẩn cấp. Mặc dù lỗ hổng này chưa có CVE chính thức, tính chất nghiêm trọng của nó và việc khai thác thực tế đòi hỏi các biện pháp phòng ngừa ngay lập tức.
Các phiên bản Windows Server có thể bị ảnh hưởng bởi cùng một lỗ hổng cơ bản, ngay cả khi PoC hiện tại không hoạt động. Một vector tấn công được thiết kế lại có thể khai thác điểm yếu này trên các hệ thống máy chủ.
Việc công bố PoC của RoguePlanet nhấn mạnh sự cần thiết của việc cập nhật bản vá kịp thời và liên tục giám sát các mối đe dọa mạng mới. Các tổ chức nên xem xét việc tăng cường các biện pháp phát hiện và phản ứng với sự cố để đối phó với các cuộc tấn công leo thang đặc quyền.
Đây là một ví dụ điển hình về lỗ hổng zero-day được công bố công khai, gây áp lực lên các nhà cung cấp phần mềm để phản ứng nhanh chóng với các mối đe dọa mới.
Dựa trên các thông tin đã được công bố, các tổ chức nên thực hiện các bước sau:
- Theo dõi các bản cập nhật bảo mật từ Microsoft cho Windows Defender.
- Triển khai các giải pháp bảo mật nâng cao có khả năng phát hiện các hành vi bất thường và leo thang đặc quyền.
- Đảm bảo rằng tất cả các hệ thống Windows 10 và Windows 11 đều được cập nhật lên bản vá mới nhất.
- Xem xét các biện pháp giảm thiểu bổ sung cho các hệ thống Windows Server cho đến khi có bản vá cụ thể.
Việc phân tích kỹ thuật và công bố PoC này cung cấp thông tin chi tiết quý giá về các phương thức tấn công tiềm ẩn, giúp cộng đồng bảo mật chuẩn bị tốt hơn cho các cuộc tấn công mạng tương lai. Tầm quan trọng của việc duy trì một chiến lược vá lỗi mạnh mẽ và giám sát liên tục là điều cần thiết để bảo vệ chống lại các mối đe dọa ngày càng tinh vi.
Để biết thêm thông tin về các lỗ hổng tương tự và các cảnh báo bảo mật, bạn có thể tham khảo các nguồn uy tín như NVD (National Vulnerability Database) tại nvd.nist.gov.
