Microsoft đã chính thức thừa nhận một lỗ hổng zero-day nghiêm trọng trong Microsoft Defender, được công khai đặt tên là “RoguePlanet”. Lỗ hổng này cho phép leo thang đặc quyền và hiện đang được phát triển bản vá bảo mật khẩn cấp để khắc phục.
Chi tiết về Lỗ hổng RoguePlanet (CVE-2026-50656)
Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-50656, được công bố chính thức vào ngày 16 tháng 6 năm 2026 bởi Microsoft Security Response Center (MSRC). Theo khung điểm CVSS 3.1, lỗ hổng này có mức độ nghiêm trọng là 7.8 (Important).
Phân loại và Ảnh hưởng
Lỗ hổng được phân loại là Elevation of Privilege (EoP), bắt nguồn từ loại lỗi CWE-59: Improper Link Resolution Before File Access (‘Link Following’). Vấn đề này ảnh hưởng đến Microsoft Malware Protection Engine, thành phần cốt lõi chịu trách nhiệm quét và bảo vệ hệ thống khỏi các mối đe dọa.
Chuỗi vector CVSS mô tả lỗ hổng có thể bị khai thác cục bộ, yêu cầu ít đặc quyền và không cần tương tác người dùng. Tuy nhiên, nó gây ra tác động cao đến tính bảo mật (confidentiality), toàn vẹn (integrity) và sẵn sàng (availability) của hệ thống. Đáng chú ý, mức độ khắc phục (Remediation Level) hiện được liệt kê là Unavailable, và mức độ trưởng thành của mã khai thác (Exploit Code Maturity) được đánh giá là Functional, xác nhận sự tồn tại của một bản proof-of-concept (PoC) công khai đang hoạt động.
Cơ chế Khai thác và Tác động Hệ thống
RoguePlanet lần đầu tiên được công bố vào ngày 10 tháng 6 năm 2026, ngay sau khi Microsoft hoàn thành việc triển khai bản vá tháng 6 năm 2026. Mã khai thác này nhắm vào một tình trạng lỗi Time-of-Check to Time-of-Use (TOCTOU) trong công cụ quét thời gian thực của Defender.
Kẻ tấn công khai thác một khoảng thời gian ngắn manh mún giữa lúc Defender xác minh đường dẫn tệp tin và thời điểm nó thực thi hành động trên tệp tin đó. Khi được kích hoạt thành công, mã khai thác sẽ khởi chạy một cửa sổ lệnh Windows (Command Prompt) với quyền truy cập của NT AUTHORITY\SYSTEM, mức đặc quyền cao nhất trên hệ thống Windows.
Phạm vi Ảnh hưởng
Lỗ hổng này ảnh hưởng đến các hệ thống Windows 10 và Windows 11 đã được cập nhật bản vá đầy đủ, bao gồm cả các hệ thống đã cài đặt bản cập nhật tích lũy tháng 6 năm 2026, KB5094126. Công ty an ninh mạng ThreatLocker đã độc lập tái hiện thành công mã khai thác và xác nhận tính hiệu quả của nó trên các hệ thống Windows 11 đã được vá lỗi đầy đủ.
Một thông tin đáng báo động hơn từ nhà nghiên cứu bảo mật Nightmare Eclipse cho biết bản PoC hoạt động hiệu quả bất kể tính năng Bảo vệ Thời gian thực (Real-Time Protection) của Defender được bật hay tắt, và thậm chí có thể hoạt động ở chế độ thụ động (passive mode). Mặc dù độ tin cậy của mã khai thác có thể thay đổi tùy theo cấu hình hệ thống do bản chất race condition, nhà nghiên cứu bày tỏ sự tự tin rằng nó có thể được tinh chỉnh để đạt được tỷ lệ thành công nhất quán.
Khả năng Phát hiện và Phòng chống
Các nỗ lực của cộng đồng an ninh mạng nhằm phát hiện hoặc chặn bản PoC thông qua chữ ký (signatures) đã chứng tỏ sự kém hiệu quả. Các thay đổi nhỏ đối với mã khai thác có thể dễ dàng vượt qua các biện pháp giảm thiểu hiện có.
Microsoft đã xếp hạng lỗ hổng này vào nhóm “Exploitation More Likely” (Khả năng Khai thác Cao) trên Chỉ số Khai thác (Exploitability Index). Mặc dù lỗ hổng đã được công khai và chưa quan sát thấy bị khai thác trong thực tế (in the wild), nhưng khả năng này là rất cao. Hãng cho biết: “Chúng tôi đang làm việc để cung cấp một bản cập nhật bảo mật chất lượng cao giải quyết lỗ hổng này.”
Cập nhật và Khuyến nghị
Microsoft chưa công bố ngày phát hành cụ thể cho bản vá lỗi. Thông tin chi tiết về lỗ hổng (CVE advisory) sẽ được cập nhật khi bản cập nhật bảo mật trở nên sẵn sàng. Người dùng và quản trị viên hệ thống được khuyến khích theo dõi các thông báo chính thức từ MSRC để biết thông tin mới nhất về bản vá lỗi này.
Các chuyên gia bảo mật khuyến nghị các tổ chức nên tăng cường giám sát các hoạt động đáng ngờ trên hệ thống, đặc biệt là các dấu hiệu leo thang đặc quyền không mong muốn. Việc áp dụng các biện pháp bảo mật bổ sung như nguyên tắc đặc quyền tối thiểu (least privilege) và kiểm soát truy cập chặt chẽ có thể giúp giảm thiểu rủi ro.
Thông tin chi tiết về lỗ hổng có thể được tham khảo tại các nguồn uy tín:
- Microsoft Security Response Center (MSRC): CVE-2026-50656
- NVD (National Vulnerability Database): CVE-2026-50656
Việc liên tục cập nhật bản vá bảo mật là yếu tố then chốt để bảo vệ hệ thống khỏi các mối đe dọa mạng mới nhất và các cuộc tấn công khai thác lỗ hổng chưa được biết đến (zero-day vulnerability).
