Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng zero-day mới được công khai trong Microsoft Defender, được gọi là “RoguePlanet”.
Chi tiết về Lỗ hổng CVE-2026-50656
Mô tả Lỗ hổng
Lỗ hổng này, được theo dõi là CVE-2026-50656, ảnh hưởng đến Microsoft Malware Protection Engine. Nó có khả năng cho phép kẻ tấn công giành được đặc quyền nâng cao trên các hệ thống bị ảnh hưởng. Đây là một vấn đề leo thang đặc quyền, được xếp hạng với điểm CVSS 7.8, cho thấy mức độ nghiêm trọng cao.
Nguyên nhân Lỗ hổng
Theo Microsoft, lỗ hổng bắt nguồn từ việc xử lý liên kết không chính xác trước khi truy cập tệp, được ánh xạ tới CWE-59. Kẻ tấn công có đặc quyền thấp có thể khai thác điểm yếu này để thực thi các hành động độc hại với quyền hạn hệ thống cao hơn, có khả năng ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu.
Mức độ Nghiêm trọng và Tác động
Lỗ hổng được công khai nhưng hiện tại chưa có bằng chứng về việc bị khai thác tích cực trong thực tế. Tuy nhiên, Microsoft đánh giá khả năng khai thác là “có khả năng xảy ra hơn”, cảnh báo về rủi ro gia tăng cho các tổ chức chậm cập nhật bản vá. Cuộc tấn công yêu cầu truy cập cục bộ và không cần tương tác người dùng, khiến nó đặc biệt nguy hiểm trong các môi trường mà kẻ tấn công đã có quyền truy cập.
Các phiên bản bị ảnh hưởng
Vấn đề này đặc biệt ảnh hưởng đến các phiên bản của Microsoft Malware Protection Engine trước phiên bản 1.1.26060.3008. Các hệ thống chạy phiên bản 1.1.26050.11 hoặc cũ hơn được coi là bị ảnh hưởng. Microsoft đã khắc phục lỗ hổng trong phiên bản engine cập nhật 1.1.26060.3008, được phát hành như một phần của các bản cập nhật bảo mật định kỳ.
Ảnh hưởng và Phạm vi Rộng
Các Sản phẩm Bị Ảnh hưởng
Microsoft Malware Protection Engine là một thành phần cốt lõi của nhiều sản phẩm bảo mật, bao gồm Microsoft Defender Antivirus, Microsoft Security Essentials và System Center Endpoint Protection. Do đó, lỗ hổng có bề mặt tấn công rộng khắp cả môi trường doanh nghiệp và người dùng cá nhân.
Cập nhật Tự động và Kiểm tra
Mặc dù lỗ hổng có mức độ nghiêm trọng cao, Microsoft lưu ý rằng hầu hết người dùng không cần thực hiện hành động thủ công. Hệ sinh thái Defender được thiết kế để nhận các bản cập nhật tự động, bao gồm cập nhật engine và định nghĩa, nhiều lần trong ngày. Các tổ chức được khuyến nghị đảm bảo rằng các bản cập nhật tự động đang hoạt động chính xác và các điểm cuối đang nhận phiên bản mới nhất của engine bảo vệ.
Trường hợp Defender Bị Vô hiệu hóa
Điều thú vị là ngay cả các hệ thống mà Microsoft Defender bị vô hiệu hóa vẫn có thể bị quét và hiển thị là có lỗ hổng. Điều này xảy ra vì các tệp nhị phân bị ảnh hưởng vẫn còn trên đĩa. Tuy nhiên, Microsoft đã làm rõ rằng các hệ thống như vậy không thể bị khai thác trừ khi Defender đang hoạt động.
Biện pháp Khắc phục và Khuyến nghị
Bản vá Bảo mật
Ngoài việc sửa lỗi CVE-2026-50656, bản cập nhật còn bao gồm các cải tiến về phòng thủ theo lớp nhằm tăng cường tư thế bảo mật tổng thể của Malware Protection Engine. Những cải tiến này là một phần nỗ lực liên tục của Microsoft nhằm giảm thiểu các mối đe dọa mới nổi và thu hẹp bề mặt tấn công.
Kiểm tra và Xác minh
Các nhóm bảo mật được khuyến khích xác minh các phiên bản engine trên toàn bộ môi trường của họ và đảm bảo rằng các điểm cuối đã cập nhật lên phiên bản 1.1.26060.3008 hoặc mới hơn. Với độ phức tạp tấn công thấp và không yêu cầu tương tác người dùng, việc cập nhật bản vá kịp thời vẫn là yếu tố then chốt để ngăn chặn các cuộc tấn công leo thang đặc quyền tiềm ẩn.
Tầm quan trọng của Bảo mật Công cụ Bảo mật
Việc công khai lỗ hổng RoguePlanet nhấn mạnh tầm quan trọng tiếp tục của việc bảo mật chính các cơ chế bảo vệ điểm cuối. Khi kẻ tấn công ngày càng nhắm mục tiêu vào các công cụ bảo mật để vượt qua các biện pháp phòng thủ, các lỗ hổng trong các thành phần cốt lõi như engine chống vi-rút có thể gây ra rủi ro đáng kể nếu không được cập nhật bản vá kịp thời. Theo dõi các cảnh báo CVE và đảm bảo hệ thống luôn được cập nhật là bước đi cần thiết để bảo vệ tổ chức khỏi các mối đe dọa mạng mới nhất.
Tham khảo thêm chi tiết tại NVD NIST CVE-2026-50656.










