-
09/04/2020
-
141
-
1.915 bài viết
Microsoft cảnh báo hai lỗ hổng Defender đang bị khai thác, có thể chiếm quyền SYSTEM
Microsoft phát đi cảnh báo khẩn về hai lỗ hổng trong Microsoft Defender đang bị tin tặc khai thác ngoài thực tế. Một trong số đó là lỗ hổng leo thang đặc quyền có thể giúp kẻ tấn công giành quyền điều khiển hệ thống ở cấp độ cao nhất trên Windows.
Động thái này diễn ra chỉ ít ngày sau khi Microsoft xác nhận một lỗ hổng khác trên Exchange Server đang bị khai thác trong các cuộc tấn công thực tế. Điều đó cho thấy các sản phẩm cốt lõi của hãng tiếp tục là mục tiêu hấp dẫn đối với giới tội phạm mạng và các nhóm tấn công có chủ đích.
Hai lỗ hổng nào đang bị khai thác?
Lỗ hổng nghiêm trọng nhất được theo dõi với mã định danh CVE-2026-41091, có điểm CVSS 7,8/10. Đây là lỗi leo thang đặc quyền cục bộ (Local Privilege Escalation - LPE) trong Microsoft Defender.
Theo Microsoft, nguyên nhân xuất phát từ việc phần mềm xử lý không đúng các liên kết tệp (link following) trước khi truy cập dữ liệu. Kẻ tấn công đã có quyền truy cập hợp lệ trên máy tính có thể lợi dụng điểm yếu này để nâng quyền lên mức SYSTEM.
Lỗ hổng thứ hai mang mã CVE-2026-45498, có điểm CVSS 4,0/10, ảnh hưởng đến Microsoft Defender dưới dạng lỗi từ chối dịch vụ (Denial-of-Service - DoS). Nếu bị khai thác thành công, hệ thống bảo vệ có thể bị gián đoạn hoạt động hoặc mất khả năng xử lý bình thường.
Điều đáng chú ý là Microsoft xác nhận cả hai lỗ hổng đều đã bị khai thác trong thực tế, tuy nhiên hãng chưa công bố chi tiết về phương thức tấn công, quy mô chiến dịch hay nhóm tin tặc đứng sau.
Theo Microsoft, nguyên nhân xuất phát từ việc phần mềm xử lý không đúng các liên kết tệp (link following) trước khi truy cập dữ liệu. Kẻ tấn công đã có quyền truy cập hợp lệ trên máy tính có thể lợi dụng điểm yếu này để nâng quyền lên mức SYSTEM.
Lỗ hổng thứ hai mang mã CVE-2026-45498, có điểm CVSS 4,0/10, ảnh hưởng đến Microsoft Defender dưới dạng lỗi từ chối dịch vụ (Denial-of-Service - DoS). Nếu bị khai thác thành công, hệ thống bảo vệ có thể bị gián đoạn hoạt động hoặc mất khả năng xử lý bình thường.
Điều đáng chú ý là Microsoft xác nhận cả hai lỗ hổng đều đã bị khai thác trong thực tế, tuy nhiên hãng chưa công bố chi tiết về phương thức tấn công, quy mô chiến dịch hay nhóm tin tặc đứng sau.
Lỗ hổng leo thang đặc quyền nguy hiểm như thế nào?
Trong lĩnh vực an ninh mạng, các lỗ hổng leo thang đặc quyền thường được xem là "mảnh ghép cuối cùng" giúp tin tặc hoàn tất quá trình chiếm quyền kiểm soát thiết bị.
Thông thường, sau khi xâm nhập được vào máy tính thông qua email lừa đảo, phần mềm độc hại hoặc tài khoản bị đánh cắp, kẻ tấn công vẫn bị giới hạn bởi quyền của người dùng hiện tại. Tuy nhiên, nếu khai thác thành công CVE-2026-41091, chúng có thể nâng quyền lên SYSTEM để thực hiện hàng loạt hành vi nguy hiểm như:
Thông thường, sau khi xâm nhập được vào máy tính thông qua email lừa đảo, phần mềm độc hại hoặc tài khoản bị đánh cắp, kẻ tấn công vẫn bị giới hạn bởi quyền của người dùng hiện tại. Tuy nhiên, nếu khai thác thành công CVE-2026-41091, chúng có thể nâng quyền lên SYSTEM để thực hiện hàng loạt hành vi nguy hiểm như:
- Vô hiệu hóa các giải pháp bảo mật.
- Cài đặt mã độc ở cấp độ hệ thống.
- Truy cập dữ liệu nhạy cảm.
- Tạo tài khoản quản trị bí mật.
- Duy trì quyền truy cập lâu dài trên thiết bị.
- Mở đường cho ransomware hoặc các cuộc tấn công tiếp theo.
Đây là lý do các lỗ hổng leo thang đặc quyền thường xuyên xuất hiện trong chuỗi tấn công của các nhóm ransomware và APT hiện đại.
Microsoft đã phát hành bản vá
Microsoft cho biết các lỗ hổng đã được khắc phục trong các phiên bản:
- Microsoft Defender Antimalware Platform 1.1.26040.8
- Microsoft Defender Platform 4.18.26040.7
Khác với nhiều sản phẩm doanh nghiệp yêu cầu quản trị viên cài đặt thủ công, Microsoft Defender thường tự động cập nhật nền tảng chống mã độc và cơ sở dữ liệu nhận diện mối đe dọa. Vì vậy phần lớn người dùng Windows sẽ nhận được bản vá thông qua cơ chế cập nhật tự động.
Những hệ thống đã vô hiệu hóa Microsoft Defender không chịu ảnh hưởng trực tiếp bởi các lỗ hổng này, tuy nhiên việc tắt Defender cũng đồng nghĩa thiết bị mất đi một lớp bảo vệ quan trọng trước các cuộc tấn công mạng.
Những hệ thống đã vô hiệu hóa Microsoft Defender không chịu ảnh hưởng trực tiếp bởi các lỗ hổng này, tuy nhiên việc tắt Defender cũng đồng nghĩa thiết bị mất đi một lớp bảo vệ quan trọng trước các cuộc tấn công mạng.
Cách kiểm tra phiên bản Microsoft Defender
Microsoft khuyến nghị người dùng kiểm tra trạng thái cập nhật của Defender bằng cách:
- Mở Windows Security.
- Chọn Virus & Threat Protection.
- Truy cập mục Protection Updates.
- Nhấn Check for Updates để tìm và cài đặt bản cập nhật mới nhất.
- Vào Settings → About để kiểm tra phiên bản Antimalware Client.
Việc đảm bảo Defender luôn ở phiên bản mới nhất giúp hệ thống nhận được các bản vá bảo mật cũng như cơ sở dữ liệu nhận diện mã độc mới nhất.
CISA yêu cầu khắc phục khẩn cấp
Mức độ nghiêm trọng của vụ việc được thể hiện khi Cybersecurity and Infrastructure Security Agency (CISA) đã bổ sung cả CVE-2026-41091 và CVE-2026-45498 vào danh mục KEV.
Theo quy định của CISA, các cơ quan thuộc nhánh hành pháp liên bang Mỹ phải hoàn tất việc áp dụng biện pháp khắc phục trước ngày 03/6/2026 nhằm giảm thiểu nguy cơ bị tấn công.
Việc một lỗ hổng được đưa vào KEV thường là dấu hiệu cho thấy các hoạt động khai thác đã được xác nhận và nguy cơ đối với các tổ chức là hoàn toàn thực tế.
Theo quy định của CISA, các cơ quan thuộc nhánh hành pháp liên bang Mỹ phải hoàn tất việc áp dụng biện pháp khắc phục trước ngày 03/6/2026 nhằm giảm thiểu nguy cơ bị tấn công.
Việc một lỗ hổng được đưa vào KEV thường là dấu hiệu cho thấy các hoạt động khai thác đã được xác nhận và nguy cơ đối với các tổ chức là hoàn toàn thực tế.
Không chỉ Defender, nhiều lỗ hổng Microsoft cũ cũng bị cảnh báo
Bên cạnh hai lỗ hổng mới, CISA cũng vừa bổ sung thêm một số lỗ hổng Microsoft tồn tại từ nhiều năm trước nhưng vẫn tiếp tục bị khai thác trong các chiến dịch tấn công hiện nay.
Danh sách này bao gồm các lỗi thực thi mã từ xa trên Internet Explorer, DirectX và Windows Server Service, nổi bật có CVE-2008-4250, lỗ hổng từng bị sâu máy tính Conficker lợi dụng để lây nhiễm hàng triệu máy tính trên toàn cầu.
Ngoài ra, cơ quan này cũng cảnh báo về CVE-2009-3459, một lỗi tràn bộ đệm trong Adobe Acrobat Reader cho phép thực thi mã độc khi người dùng mở tệp PDF được thiết kế đặc biệt.
Sự xuất hiện trở lại của các lỗ hổng hơn một thập kỷ tuổi cho thấy nhiều hệ thống trên thực tế vẫn chưa được cập nhật đầy đủ hoặc đang vận hành các phần mềm đã lỗi thời.
Danh sách này bao gồm các lỗi thực thi mã từ xa trên Internet Explorer, DirectX và Windows Server Service, nổi bật có CVE-2008-4250, lỗ hổng từng bị sâu máy tính Conficker lợi dụng để lây nhiễm hàng triệu máy tính trên toàn cầu.
Ngoài ra, cơ quan này cũng cảnh báo về CVE-2009-3459, một lỗi tràn bộ đệm trong Adobe Acrobat Reader cho phép thực thi mã độc khi người dùng mở tệp PDF được thiết kế đặc biệt.
Sự xuất hiện trở lại của các lỗ hổng hơn một thập kỷ tuổi cho thấy nhiều hệ thống trên thực tế vẫn chưa được cập nhật đầy đủ hoặc đang vận hành các phần mềm đã lỗi thời.
Khuyến nghị bảo mật
Các chuyên gia an ninh mạng khuyến nghị người dùng và doanh nghiệp:
- Kiểm tra và cập nhật Microsoft Defender lên phiên bản mới nhất ngay lập tức.
- Không vô hiệu hóa Defender hoặc các giải pháp bảo mật tương đương nếu không thực sự cần thiết.
- Bật cơ chế cập nhật tự động cho Windows và các phần mềm bảo mật.
- Theo dõi nhật ký hệ thống để phát hiện các dấu hiệu leo thang đặc quyền bất thường.
- Áp dụng nguyên tắc phân quyền tối thiểu cho người dùng và tài khoản dịch vụ.
- Kết hợp các giải pháp EDR/XDR để phát hiện các hành vi khai thác sau xâm nhập.
Việc Microsoft xác nhận hai lỗ hổng trong Defender đang bị khai thác ngoài thực tế chứng minh việc ngay cả những thành phần bảo mật tích hợp sẵn trên Windows cũng có thể trở thành mục tiêu của tin tặc. Đặc biệt, lỗ hổng CVE-2026-41091 cho phép leo thang lên quyền SYSTEM có thể trở thành công cụ hỗ trợ đắc lực cho các chiến dịch ransomware, gián điệp mạng hoặc đánh cắp dữ liệu quy mô lớn.