-
09/04/2020
-
141
-
1.904 bài viết
Lộ zero-day nghiêm trọng trên Windows, máy cập nhật đầy đủ vẫn có thể bị hack
Nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse vừa công bố mã khai thác mẫu (PoC) cho một lỗ hổng zero-day leo thang đặc quyền trên Windows, cho phép kẻ tấn công giành quyền SYSTEM ngay cả trên các hệ thống đã cài đầy đủ bản vá mới nhất.
Lỗ hổng mới được đặt tên là “MiniPlasma” và ảnh hưởng tới thành phần “cldflt.sys” - trình điều khiển Windows Cloud Files Mini Filter Driver của Microsoft. Theo phân tích kỹ thuật, lỗ hổng nằm trong routine có tên “HsmOsBlockPlaceholderAccess” và thực chất đã từng được nhà nghiên cứu James Forshaw từ nhóm Google Project Zero báo cáo cho Microsoft từ tháng 9/2020.
Tưởng đã vá từ năm 2020 nhưng lỗi vẫn tồn tại
Trước đó, cộng đồng bảo mật cho rằng Microsoft đã khắc phục vấn đề này vào tháng 12/2020 thông qua bản vá cho lỗ hổng CVE-2020-17103. Tuy nhiên, Chaotic Eclipse cho biết quá trình phân tích lại cho thấy “chính xác lỗi cũ vẫn còn tồn tại và chưa hề được vá hoàn toàn”.
Nhà nghiên cứu cho biết:
Nhà nghiên cứu cho biết:
Để chứng minh mức độ nguy hiểm, nhà nghiên cứu đã “weaponize” PoC ban đầu nhằm mở trực tiếp một SYSTEM shell trên Windows. Theo mô tả, cuộc tấn công hoạt động dựa trên race condition nên tỷ lệ thành công có thể khác nhau giữa các thiết bị, nhưng trên nhiều hệ thống thử nghiệm, việc leo thang đặc quyền diễn ra khá ổn định.
Windows 11 mới nhất vẫn có thể bị khai thác
Nhà nghiên cứu bảo mật Will Dormann cũng xác nhận trên Mastodon rằng MiniPlasma có thể hoạt động “đáng tin cậy” trên các hệ thống Windows 11 đã cài bản cập nhật tháng 5/2026. Theo ông, PoC có thể mở “cmd.exe” với quyền SYSTEM trên các máy Windows 11 fully patched.
Tuy nhiên, ông cũng lưu ý lỗ hổng dường như không còn hoạt động trên các bản Windows 11 Insider Preview Canary mới nhất, làm dấy lên khả năng Microsoft có thể đã âm thầm xử lý vấn đề trong các nhánh thử nghiệm nội bộ.
Tuy nhiên, ông cũng lưu ý lỗ hổng dường như không còn hoạt động trên các bản Windows 11 Insider Preview Canary mới nhất, làm dấy lên khả năng Microsoft có thể đã âm thầm xử lý vấn đề trong các nhánh thử nghiệm nội bộ.
Nguy cơ đặc biệt nghiêm trọng với các cuộc tấn công hậu xâm nhập
Các chuyên gia cho biết lỗ hổng leo thang đặc quyền (Privilege Escalation) kiểu này đặc biệt nguy hiểm trong các cuộc tấn công hậu xâm nhập.
Sau khi có được quyền truy cập ban đầu thông qua phishing, malware hoặc tài khoản bị đánh cắp, tin tặc có thể khai thác MiniPlasma để nâng quyền lên SYSTEM, từ đó:
Sau khi có được quyền truy cập ban đầu thông qua phishing, malware hoặc tài khoản bị đánh cắp, tin tặc có thể khai thác MiniPlasma để nâng quyền lên SYSTEM, từ đó:
- Vô hiệu hóa phần mềm bảo mật,
- Đánh cắp dữ liệu,
- Cài backdoor,
- Duy trì quyền truy cập,
- Hoặc kiểm soát hoàn toàn máy tính nạn nhân.
Đáng chú ý, đây không phải lần đầu thành phần “cldflt.sys” xuất hiện lỗ hổng nghiêm trọng. Vào tháng 12/2025, Microsoft từng vá lỗ hổng leo thang đặc quyền CVE-2025-62221 (CVSS 7,8) trong cùng thành phần này và xác nhận nó đã bị khai thác ngoài thực tế bởi các tác nhân chưa xác định. Hiện Microsoft chưa đưa ra bình luận chính thức về MiniPlasma cũng như chưa công bố bản vá bảo mật cho lỗ hổng mới được tiết lộ.