-
09/04/2020
-
128
-
1.820 bài viết
Nhiều lỗ hổng zero-day trong Microsoft Defender bị khai thác ngoài thực tế
Một loạt lỗ hổng bảo mật vừa được phát hiện trong Microsoft Defender đang bị tin tặc "активно" khai thác để leo thang đặc quyền và vô hiệu hóa cơ chế bảo vệ. Diễn biến này làm dấy lên lo ngại khi chính phần mềm phòng thủ lại trở thành điểm yếu bị lợi dụng trong các cuộc tấn công có chủ đích.
Theo cảnh báo từ Huntress, các nhóm tấn công đang khai thác ba lỗ hổng bảo mật mới được công bố, bao gồm BlueHammer, RedSun và UnDefend. Những lỗ hổng này được phát hiện và công bố dưới dạng zero-day bởi một nhà nghiên cứu có biệt danh Chaotic Eclipse (còn được biết đến là Nightmare-Eclipse), sau tranh cãi liên quan đến quy trình xử lý báo cáo lỗ hổng.
Trong ba lỗ hổng trên, BlueHammer và RedSun thuộc nhóm leo thang đặc quyền cục bộ (Local Privilege Escalation - LPE), cho phép kẻ tấn công nâng quyền từ người dùng thông thường lên mức hệ thống. Lỗ hổng còn lại, UnDefend, cho phép gây ra tình trạng từ chối dịch vụ (DoS), làm gián đoạn quá trình cập nhật cơ sở dữ liệu nhận diện mã độc của Defender.
Lỗ hổng BlueHammer đã được Microsoft vá trong bản cập nhật Patch Tuesday gần nhất và được định danh là CVE-2026-33825. Tuy nhiên, hai lỗ hổng còn lại hiện vẫn chưa có bản vá chính thức tại thời điểm ghi nhận.
Về cơ chế khai thác, các chuyên gia cho biết tin tặc thường thực hiện chuỗi hành vi sau khi xâm nhập ban đầu vào hệ thống. Sau khi có được quyền truy cập ban đầu (thông qua phishing, malware hoặc tài khoản bị lộ), chúng tiến hành thu thập thông tin hệ thống bằng các lệnh như whoami /priv, cmdkey /list hay net group. Đây là dấu hiệu điển hình của các cuộc tấn công “hands-on-keyboard”, khi kẻ tấn công trực tiếp điều khiển hệ thống.
Sau giai đoạn trinh sát, các lỗ hổng BlueHammer hoặc RedSun được khai thác để nâng quyền lên mức cao nhất trong hệ thống. Khi đạt được đặc quyền cao, tin tặc có thể sử dụng UnDefend để vô hiệu hóa hoặc làm gián đoạn cơ chế cập nhật của Defender, từ đó duy trì quyền truy cập và triển khai các payload độc hại mà không bị phát hiện.
Mức độ nguy hiểm và phạm vi ảnh hưởng
Dù chưa có điểm CVSS chính thức cho tất cả các lỗ hổng, việc cho phép leo thang đặc quyền và vô hiệu hóa hệ thống phòng thủ khiến mức độ rủi ro được đánh giá là cao, đặc biệt trong môi trường doanh nghiệp.
Rủi ro và hậu quả
Nếu bị khai thác thành công, các lỗ hổng này có thể dẫn đến nhiều hậu quả nghiêm trọng. Kẻ tấn công có thể chiếm toàn quyền kiểm soát hệ thống, cài đặt phần mềm độc hại, đánh cắp dữ liệu nhạy cảm hoặc triển khai ransomware.
Việc vô hiệu hóa hoặc làm gián đoạn cập nhật Defender càng làm gia tăng nguy cơ, khi hệ thống không còn khả năng nhận diện các mối đe dọa mới. Điều này tạo điều kiện cho các cuộc tấn công kéo dài mà không bị phát hiện.
Việc vô hiệu hóa hoặc làm gián đoạn cập nhật Defender càng làm gia tăng nguy cơ, khi hệ thống không còn khả năng nhận diện các mối đe dọa mới. Điều này tạo điều kiện cho các cuộc tấn công kéo dài mà không bị phát hiện.
Biện pháp phòng tránh và khuyến nghị
Trước tình hình này, các chuyên gia an ninh mạng khuyến nghị người dùng và tổ chức cần nhanh chóng thực hiện các biện pháp sau:
- Cập nhật ngay các bản vá bảo mật mới nhất, đặc biệt là bản vá cho CVE-2026-33825
- Theo dõi chặt chẽ hoạt động bất thường trên hệ thống, đặc biệt là các lệnh liên quan đến kiểm tra quyền và tài khoản
- Hạn chế quyền truy cập của người dùng, áp dụng nguyên tắc “least privilege”
- Triển khai các giải pháp giám sát nâng cao như EDR/XDR để phát hiện hành vi bất thường
- Tăng cường kiểm soát truy cập và xác thực đa yếu tố (MFA)
Đối với hai lỗ hổng chưa có bản vá, việc giám sát và phát hiện sớm các dấu hiệu khai thác là yếu tố then chốt để giảm thiểu rủi ro.
Theo The Hacker News