-
09/04/2020
-
128
-
1.813 bài viết
RedSun: Lỗ hổng 'chưa có bản vá' đang đe dọa hàng triệu máy tính Windows
Ngay sau khi lỗ hổng BlueHammer được xử lý, Microsoft lại tiếp tục đối mặt với một thách thức bảo mật mới mang tên RedSun. Lỗ hổng zero-day này vừa được nhà nghiên cứu Chaotic Eclipse công bố kèm theo mã khai thác mẫu (PoC), cho thấy khả năng leo thang đặc quyền lên mức SYSTEM trên các hệ thống Windows đã cài đặt đầy đủ bản vá tháng 4/2026
Khác với nhiều lỗ hổng cần điều kiện phức tạp, RedSun khai thác trực tiếp vào một hành vi xử lý tệp tưởng như vô hại trong Microsoft Defender, cụ thể là cách phần mềm này xử lý các tệp mang “cloud tag”. Khi phát hiện một tệp như vậy, Defender sẽ tự động ghi lại tệp đó về vị trí ban đầu như một cơ chế bảo vệ. Chính thao tác này lại vô tình tạo ra điểm can thiệp, cho phép kẻ tấn công kiểm soát quá trình ghi đè và chèn mã độc vào các tệp hệ thống quan trọng.
Chuỗi khai thác cho thấy mức độ tinh vi khi kết hợp nhiều cơ chế cấp thấp trong Microsoft Windows. Kỹ thuật này bắt đầu bằng việc sử dụng Cloud Files API để ghi nội dung EICAR nhằm kích hoạt cơ chế xử lý của Defender, sau đó tận dụng cơ chế khóa tệp để kiểm soát thời điểm truy cập trong một điều kiện tranh chấp liên quan đến Volume Shadow Copy. Khi quá trình ghi đè diễn ra, một Directory Junction hoặc reparse point đã được thiết lập sẵn để chuyển hướng thao tác này sang tệp thực thi tại đường dẫn C\Windows\System32\TieringEngineService.exe, từ đó khiến hạ tầng Cloud Files của Windows tự động chạy tệp này với quyền SYSTEM, mở ra khả năng chiếm toàn quyền kiểm soát hệ thống mà không cần khai thác kernel hay vượt qua các lớp bảo vệ phức tạp.
Mã khai thác RedSun cho phép chiếm quyền SYSTEM trên Windows 11 đã vá đầy đủ
Nguồn: Dormann
Thử nghiệm thực tế cho thấy kỹ thuật này hoạt động ổn định trên các phiên bản Microsoft Windows, bao gồm Windows 10, Windows 11 và Windows Server 2019 trở lên, ngay cả khi hệ thống đã cài đặt đầy đủ bản vá mới nhất. Điều này cho thấy RedSun không còn là kịch bản mang tính lý thuyết mà đã trở thành rủi ro có thể khai thác ngoài thực tế. Khả năng né tránh phát hiện cũng không quá phức tạp khi chuỗi EICAR có thể được mã hóa lại, đủ để qua mặt nhiều công cụ antivirus hiện nay.
RedSun xuất hiện ngay sau BlueHammer, lỗ hổng leo thang đặc quyền khác trong Microsoft Defender đã được vá với mã CVE-2026-33825. Hai kỹ thuật khác nhau nhưng cùng nhắm vào cách Defender tương tác với hệ thống tệp cho thấy đây không chỉ là một lỗi đơn lẻ, mà có thể bắt nguồn từ chính cách thiết kế các cơ chế xử lý tự động bên trong sản phẩm.
Trong lúc chờ Microsoft phát hành bản vá, quản trị viên nên:
RedSun xuất hiện ngay sau BlueHammer, lỗ hổng leo thang đặc quyền khác trong Microsoft Defender đã được vá với mã CVE-2026-33825. Hai kỹ thuật khác nhau nhưng cùng nhắm vào cách Defender tương tác với hệ thống tệp cho thấy đây không chỉ là một lỗi đơn lẻ, mà có thể bắt nguồn từ chính cách thiết kế các cơ chế xử lý tự động bên trong sản phẩm.
Trong lúc chờ Microsoft phát hành bản vá, quản trị viên nên:
- Theo dõi hành vi bất thường liên quan đến Cloud Files API
- Hạn chế quyền ghi vào thư mục hệ thống nhạy cảm
- Giám sát các tiến trình có dấu hiệu thay thế tệp thực thi hệ thống
Việc công bố PoC lần này cũng xuất phát từ mâu thuẫn giữa nhà nghiên cứu và Microsoft trong quá trình báo cáo lỗ hổng. Chaotic Eclipse cho biết đã gặp trải nghiệm không tích cực khi làm việc với bộ phận tiếp nhận của hãng, từ đó quyết định công khai trực tiếp thay vì chờ xử lý theo quy trình. Phía Microsoft vẫn khẳng định sẽ tiếp tục điều tra và xử lý các vấn đề bảo mật để bảo vệ người dùng.
Chỉnh sửa lần cuối: