Một lỗ hổng zero-day mới được công bố trong AnyDesk, được theo dõi là CVE-2026-15682, cho phép các kẻ tấn công cục bộ làm sập các cài đặt bị ảnh hưởng bằng cách lạm dụng một tính năng hỗ trợ cốt lõi. Sự cố này dấy lên những lo ngại mới cho các tổ chức đang phụ thuộc vào công cụ điều khiển máy tính từ xa này cho công tác hỗ trợ IT và quản lý truy cập.
Lỗ hổng này nằm trong tính năng Send Support Information của AnyDesk, được thiết kế để hỗ trợ người dùng chia sẻ dữ liệu chẩn đoán với các nhóm hỗ trợ trong quá trình khắc phục sự cố.
Phân Tích Kỹ Thuật Lỗ Hổng Zero-Day AnyDesk CVE-2026-15682
Cơ Chế Khai Thác Junction và Ghi Tệp Bất Hợp Pháp
Bằng cách tạo một junction, một loại điểm phân tích lại hệ thống tệp (filesystem reparse point) chuyển hướng các hoạt động tệp, kẻ tấn công có thể đánh lừa dịch vụ AnyDesk ghi các tệp tùy ý ra bên ngoài vị trí dự kiến của chúng.
Kỹ thuật này khai thác cách hệ điều hành xử lý các liên kết tượng trưng cấp thấp, đặc biệt là các liên kết thư mục trên hệ thống tệp NTFS của Windows. Một junction được tạo khéo léo sẽ đánh lừa ứng dụng rằng nó đang ghi vào một thư mục an toàn, trong khi thực tế tệp lại được chuyển hướng đến một vị trí khác.
Việc lạm dụng chức năng ghi tệp này cho phép kẻ tấn công điều khiển đường dẫn mà AnyDesk lưu trữ dữ liệu chẩn đoán. Thay vì ghi vào thư mục tạm thời được kiểm soát, tệp được ghi vào một đường dẫn không mong muốn trên hệ thống mục tiêu.
Ảnh Hưởng và Điều Kiện Khai Thác Gây Tấn Công Denial of Service (DoS)
Việc ghi tệp trái phép cuối cùng khiến ứng dụng hoặc hệ thống rơi vào trạng thái Denial of Service (DoS), làm gián đoạn hoạt động bình thường cho người dùng hợp pháp. Tình trạng DoS này có thể gây ra sự cố ứng dụng, treo hệ thống hoặc các vấn đề nghiêm trọng khác, cản trở khả năng sử dụng AnyDesk.
Theo cảnh báo của Zero Day Initiative (ZDI-26-401), việc khai thác lỗ hổng zero-day này không thể thực hiện từ xa ngay lập tức. Kẻ tấn công trước tiên phải có khả năng thực thi mã có đặc quyền thấp trên máy mục tiêu trước khi kích hoạt cuộc tấn công tạo tệp dựa trên junction.
Yêu cầu truy cập cục bộ này làm giảm mức độ rủi ro tổng thể so với các lỗ hổng có thể khai thác từ xa. Tuy nhiên, lỗ hổng nghiêm trọng này vẫn cực kỳ nguy hiểm trong các môi trường dùng chung, đa người dùng, hoặc các hệ thống đã bị xâm nhập một phần, nơi các điểm bám đặc quyền thấp là phổ biến.
Các lỗ hổng Denial of Service trong phần mềm truy cập từ xa đặc biệt gây gián đoạn cho các bộ phận hỗ trợ IT và các nhà cung cấp dịch vụ quản lý (MSP) đang phụ thuộc vào các công cụ như AnyDesk để hỗ trợ từ xa liên tục. Sự cố hệ thống có thể làm tê liệt khả năng cung cấp dịch vụ thiết yếu.
Tiền Lệ An Toàn Thông Tin của AnyDesk
Các Lỗ Hổng Tương Tự và Phương Pháp Khai Thác Trước Đó
Lỗ hổng CVE-2026-15682 này tiếp nối một mô hình đã được thấy trong các vấn đề bảo mật AnyDesk trước đây. Các kỹ thuật thao túng hệ thống tệp như liên kết tượng trưng (symbolic links) và điểm phân tích lại (reparse points) đã được khai thác để vượt qua kiểm soát truy cập trong các hoạt động liên quan đến phiên làm việc.
AnyDesk đã từng phải đối phó với các lỗ hổng liên quan đến các cơ chế tương tự. Một lỗ hổng năm 2024 đã sử dụng việc xử lý hình nền và các điểm phân tích lại để cho phép leo thang đặc quyền, thay vì chỉ làm gián đoạn dịch vụ.
Điều này cho thấy một sự lặp lại trong các phương pháp khai thác, nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng các tính năng tương tác với hệ thống tệp ở cấp độ thấp. Các kỹ thuật này thường được kẻ tấn công sử dụng để vượt qua các rào cản bảo mật đã được thiết lập.
Sự Cố Bảo Mật Trước Đó và Yêu Cầu Cập Nhật Bản Vá Bảo Mật
Với lịch sử các sự cố bảo mật của AnyDesk, bao gồm cả vụ vi phạm hệ thống sản xuất năm 2024 dẫn đến việc thu hồi chứng chỉ và buộc phải cập nhật, các nhóm bảo mật được khuyến nghị nên xử lý bất kỳ cảnh báo CVE mới nào liên quan đến AnyDesk với mức độ khẩn cấp cao.
Các tổ chức cần ưu tiên giám sát các khuyến cáo bảo mật chính thức từ AnyDesk. Việc này nhằm nhanh chóng phát hiện và áp dụng bản vá bảo mật cho vấn đề ghi tệp dựa trên junction này ngay khi nó được phát hành.
Việc bỏ qua các cảnh báo bảo mật có thể khiến hệ thống tiếp xúc với rủi ro đáng kể. Điều này đặc biệt đúng khi các cuộc tấn công leo thang đặc quyền hoặc từ chối dịch vụ có thể xảy ra từ một lỗ hổng zero-day chưa được vá.
Đề Xuất Biện Pháp Giảm Thiểu và Phòng Ngừa
Giám Sát Chủ Động và Cập Nhật Hệ Thống
Các tổ chức nên theo dõi chặt chẽ các thông báo bảo mật chính thức từ AnyDesk để biết thông tin về bản vá bảo mật giải quyết vấn đề ghi tệp dựa trên junction này. Việc áp dụng bản vá ngay lập tức là rất quan trọng để bảo vệ hệ thống.
Ngoài ra, cần thiết lập các quy trình để đảm bảo rằng tất cả các cài đặt AnyDesk được cập nhật lên phiên bản mới nhất càng sớm càng tốt sau khi có bản vá. Điều này giúp giảm thiểu cửa sổ cơ hội cho kẻ tấn công khai thác lỗ hổng zero-day này.
Hạn Chế Quyền Truy Cập và Giám Sát Hành Vi Bất Thường
Cho đến khi một bản vá được xác nhận và triển khai, việc hạn chế người có thể thực thi mã trên các hệ thống đang chạy AnyDesk có thể giảm đáng kể khả năng tiếp xúc với vectơ Denial of Service này.
Các chính sách kiểm soát truy cập nghiêm ngặt cần được áp dụng, đặc biệt là đối với các tài khoản có đặc quyền thấp. Điều này nhằm hạn chế khả năng chúng có thể tạo hoặc thao túng các điểm phân tích lại hệ thống tệp.
Cần giám sát chặt chẽ các hoạt động bất thường liên quan đến việc tạo junction hoặc reparse point trên các hệ thống quan trọng. Việc này có thể được thực hiện thông qua các công cụ giám sát hệ thống hoặc giải pháp phát hiện xâm nhập (IDS) để phát hiện sớm các dấu hiệu khai thác.
Áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege) là một biện pháp phòng ngừa hiệu quả. Điều này đảm bảo rằng người dùng và ứng dụng chỉ có quyền truy cập cần thiết để thực hiện công việc của họ, giảm thiểu bề mặt tấn công tiềm năng.










