Lỗ hổng Windows mới cho phép tin tặc chiếm quyền SYSTEM chỉ với một syscall

[WhiteHat Team]

Một lỗ hổng nghiêm trọng vừa được phát hiện trong Windows kernel đang thu hút sự chú ý của giới nghiên cứu an ninh mạng, khi nó cho phép leo thang đặc quyền lên mức NT AUTHORITY\SYSTEM từ một tiến trình có quyền hạn thấp, ngay cả khi đang bị cô lập trong sandbox trình duyệt.​

Lỗ hổng được định danh CVE-2026-40369, do nhà nghiên cứu bảo mật Ori Nimron phát hiện trong thành phần ntoskrnl.exe, ảnh hưởng tới các phiên bản Windows 11 từ 24H2 đến 25H2. Theo các chuyên gia, đây không phải lỗi hỏng bộ nhớ truyền thống mà là một lỗi logic nghiêm trọng trong cơ chế xử lý syscall của kernel Windows.

Điểm khiến CVE-2026-40369 trở nên nguy hiểm nằm ở việc quá trình khai thác có tỷ lệ thành công gần như tuyệt đối. Chỉ với một syscall duy nhất, tin tặc đã có thể thao túng bộ nhớ kernel mà không cần sử dụng các kỹ thuật khai thác vốn phức tạp và thiếu ổn định như điều kiện tranh chấp, thao túng bộ nhớ heap hay chiếm đoạt token đặc quyền.

Theo phân tích kỹ thuật, lỗ hổng nằm trong hàm ExpGetProcessInformation và được kích hoạt khi tiến trình gọi syscall NtQuerySystemInformation với information class 253 (SystemProcessInformationExtension). Trong cơ chế xử lý bình thường, Windows sử dụng ProbeForWrite để kiểm tra và xác thực các con trỏ bộ nhớ được truyền từ user space vào kernel space, nhằm ngăn chặn việc ghi dữ liệu trái phép vào vùng nhớ nhân hệ điều hành. Tuy nhiên, một sai sót logic xuất hiện khi độ dài bộ đệm đầu vào được đặt bằng 0, khiến bước kiểm tra của ProbeForWrite bị bỏ qua hoàn toàn. Điều này tạo ra điều kiện để kẻ tấn công vượt qua cơ chế xác thực đầu vào và tác động trực tiếp tới luồng xử lý trong kernel.

Trong trường hợp này, kernel có thể chấp nhận các địa chỉ bộ nhớ do người dùng cung cấp, bao gồm cả những vùng trỏ tới kernel memory nhạy cảm mà không thực hiện cơ chế kiểm tra an toàn phù hợp. Khi hàm tiếp tục duyệt danh sách tiến trình đang hoạt động, điều này vô tình hình thành một primitive cho phép tăng giá trị tại các địa chỉ kernel tùy ý do tin tặc kiểm soát. Khác với nhiều lỗ hổng kernel trước đây vốn phải dựa vào các kỹ thuật khai thác phức tạp như ghi đè bộ nhớ hay tạo điều kiện tranh chấp, CVE-2026-40369 lại bắt nguồn từ một lỗi logic ngay trong cách Windows xử lý syscall. Điều này giúp chuỗi khai thác trở nên ổn định hơn, dễ thực hiện hơn và đặc biệt nguy hiểm.

Đặc biệt, CVE-2026-40369 có thể bị khai thác ngay trong môi trường sandbox do syscall NtQuerySystemInformation không bị ràng buộc bởi các cơ chế bảo vệ như Win32k lockdown hay kiểm tra integrity level. Điều này cho phép các tiến trình renderer của Chrome, Microsoft Edge và Firefox vẫn có thể gọi syscall này một cách hợp lệ. Chính vì vậy, lỗ hổng này trở thành một mắt xích nguy hiểm trong các chuỗi tấn công vượt sandbox trình duyệt (browser escape chain). Chỉ cần một trang web độc hại được mở, kẻ tấn công có thể tận dụng nó như bàn đạp để thoát khỏi môi trường cô lập và tiến tới chiếm quyền kiểm soát hệ điều hành.

Kịch bản tấn công thường bắt đầu từ một renderer process đã bị xâm nhập thông qua một lỗ hổng trình duyệt. Từ vị trí này, tin tặc khai thác CVE-2026-40369 để dần xây dựng các primitive phục vụ việc truy cập và đọc bộ nhớ kernel. Trong quá trình khai thác, các cấu trúc nội bộ như CmpLayerVersions có thể bị lợi dụng để thao túng con trỏ kernel trỏ về vùng nhớ do tin tặc kiểm soát trong user space, từ đó trích xuất các dữ liệu nhạy cảm. Kỹ thuật này giúp vượt qua cơ chế bảo vệ như Kernel Address Space Layout Randomization (KASLR), đồng thời hỗ trợ xác định vị trí của các cấu trúc quan trọng như EPROCESS.

Khi đã đạt được khả năng đọc bộ nhớ kernel, tin tặc có thể duyệt danh sách tiến trình hệ thống để định vị token của tiến trình hiện tại, sau đó chỉnh sửa các bit đặc quyền nhằm kích hoạt các quyền nâng cao như SeDebugPrivilege. Ở giai đoạn cuối, với đặc quyền này, tin tặc có thể mở handle tới các tiến trình có mức quyền cao như winlogon.exe, thực hiện kỹ thuật tiêm mã (code injection) và cuối cùng khởi chạy shell với quyền NT AUTHORITY\SYSTEM.

Báo cáo kỹ thuật cũng chỉ ra một điểm yếu mang tính kiến trúc trong Windows, khi hệ điều hành hiện chưa triển khai cơ chế Supervisor Mode Access Prevention (SMAP). Việc thiếu cơ chế này khiến kernel trong một số tình huống có thể truy cập trực tiếp vùng nhớ user-mode mà không kích hoạt lỗi bảo vệ bộ nhớ. Tận dụng đặc điểm đó, tin tặc có thể xây dựng và ánh xạ các cấu trúc giả trong user space, sau đó đánh lừa kernel xử lý chúng như dữ liệu hợp lệ. Điều này giúp quá trình khai thác trở nên ổn định hơn, giảm đáng kể độ phức tạp và khiến chuỗi tấn công trở nên nhất quán và dễ kiểm soát hơn trong thực tế.

Được biết, kỹ thuật tấn công này ban đầu được xây dựng phục vụ mục tiêu nghiên cứu và tham gia cuộc thi Pwn2Own Berlin 2026. Tuy nhiên, do giới hạn số lượng bài dự thi, nó không được trình diễn tại sự kiện và sau đó đã được công bố công khai.

Hiện Microsoft chưa công bố thời điểm phát hành bản vá cho CVE-2026-40369. Trong thời gian chờ bản cập nhật bảo mật, các chuyên gia khuyến nghị doanh nghiệp và đội ngũ SOC tăng cường giám sát các lời gọi NtQuerySystemInformation bất thường, đặc biệt khi sử dụng information class 253 từ các ứng dụng có đặc quyền thấp hoặc các tiến trình chạy trong môi trường sandbox.

Bên cạnh đó, hệ thống EDR nên được cấu hình để phát hiện các hành vi truy cập bất thường tới những tiến trình nhạy cảm như winlogon.exe, cũng như các dấu hiệu thao túng token đặc quyền hoặc các hoạt động tương tác bất thường với bộ nhớ kernel. Việc theo dõi các chuỗi hành vi này có thể giúp phát hiện sớm các nỗ lực leo thang đặc quyền và giảm thiểu rủi ro bị chiếm quyền điều khiển hệ thống.

​