Các nhà nghiên cứu bảo mật vừa phát hiện một lỗ hổng Zero-day nghiêm trọng mới trong Microsoft Defender – công cụ diệt virus mặc định của Windows – cho phép kẻ tấn công leo thang đặc quyền lên mức cao nhất của hệ thống. Bằng cách lợi dụng chính cơ chế ghi tệp tin của phần mềm bảo mật, đối tượng tấn công có thể dễ dàng biến công cụ phòng thủ thành “cánh cửa” để kiểm soát hoàn toàn thiết bị.

Chiến dịch công bố mã khai thác proof-of-concept (PoC) này được thực hiện bởi một nhà nghiên cứu có biệt danh “Chaotic Eclipse” vào giữa tháng 4/2026. Đây là lỗ hổng Zero-day thứ hai liên quan đến Microsoft Defender được công khai trong vòng hai tuần qua, như một hành động phản đối gay gắt quy trình làm việc thiếu thiện chí từ phía Microsoft đối với cộng đồng nghiên cứu bảo mật độc lập.

Cơ chế hoạt động của cuộc tấn công “RedSun”

Kẻ tấn công lợi dụng tính linh hoạt của Cloud Files API và hành vi xử lý tệp tin bất thường của Windows Defender để thực hiện tấn công Leo thang đặc quyền cục bộ (Local Privilege Escalation – LPE). Thay vì cố gắng vượt qua hàng rào bảo mật, lỗ hổng RedSun biến chính quá trình quét mã độc thành một công cụ để ghi đè tệp hệ thống.

Quy trình khai thác diễn ra qua các bước tinh vi:

  1. Kích hoạt phản xạ của Defender: Kẻ tấn công sử dụng Cloud Files API để ghi một tệp chứa chữ ký EICAR (tệp thử nghiệm virus tiêu chuẩn) vào hệ thống.
  2. Tấn công Race Condition: Khi Defender nhận diện tệp có “cloud tag” độc hại, phần mềm này sẽ cố gắng ghi lại tệp đó vào vị trí ban đầu. Tại thời điểm này, mã khai thác sử dụng kỹ thuật Oplock để thắng cuộc đua về thời gian (race condition) với dịch vụ Volume Shadow Copy.
  3. Chuyển hướng luồng dữ liệu: Bằng cách sử dụng các điểm nối thư mục (Directory Junction/Reparse Point), mã khai thác đánh lừa hệ thống để chuyển hướng việc ghi tệp độc hại vào vị trí của tệp hệ thống quan trọng: C:\Windows\system32\TieringEngineService.exe.
  4. Thực thi đặc quyền: Cloud Files Infrastructure sau đó sẽ khởi chạy tệp thực thi đã bị tráo đổi (RedSun.exe) dưới danh nghĩa một dịch vụ hệ thống. Do dịch vụ này chạy với quyền SYSTEM, kẻ tấn công chính thức chiếm quyền kiểm soát tuyệt đối máy tính.

Điểm tinh vi: Để né tránh sự phát hiện của các giải pháp antivirus khác, nhà nghiên cứu đã mã hóa chuỗi EICAR trong tệp thực thi, giúp giảm tỷ lệ bị gắn cờ trên các nền tảng quét như VirusTotal xuống mức tối thiểu.

BlueHammer và mâu thuẫn giữa nhà nghiên cứu với Microsoft

Trước RedSun, một lỗ hổng khác mang tên BlueHammer (CVE-2026-33825) cũng đã bị Chaotic Eclipse công khai. Mặc dù Microsoft đã tung ra bản vá cho BlueHammer trong đợt cập nhật Patch Tuesday tháng 4/2026, nhưng RedSun vẫn đang là mối đe dọa hiện hữu đối với các hệ thống Windows 10, Windows 11 và Windows Server chưa được cập nhật hoặc cài đặt cấu hình phòng thủ bổ sung.

Động cơ của việc công bố mã khai thác công khai (Full Disclosure) thay vì báo cáo kín bắt nguồn từ sự thất vọng tột độ đối với Trung tâm Phản hồi Bảo mật Microsoft (MSRC). Nhà nghiên cứu tuyên bố đã bị đe dọa và đối xử không công bằng trong quá trình phối hợp sửa lỗi, dẫn đến quyết định tung ra các công cụ khai thác như một cách để cảnh báo người dùng cuối và gây áp lực lên hãng công nghệ này.

Khuyến cáo từ chuyên gia bảo mật

Trước diễn biến phức tạp của các lỗ hổng leo thang đặc quyền nhắm vào công cụ bảo mật lõi của Windows, các tổ chức và quản trị viên hệ thống cần triển khai ngay các biện pháp sau:

Đối với Đội ngũ Kỹ thuật Bảo mật (Security Engineers):

  • Cập nhật tức thì: Đảm bảo tất cả các máy trạm và máy chủ Windows (đặc biệt là Windows Server 2019 trở lên) đã áp dụng bản vá mới nhất của tháng 4/2026.
  • Giám sát Cloud Files API: Theo dõi các hành vi gọi API bất thường liên quan đến dịch vụ đám mây và các thay đổi tại thư mục System32, đặc biệt là tệp TieringEngineService.exe.
  • Phòng thủ chiều sâu: Không nên chỉ dựa vào Windows Defender. Cần triển khai các lớp bảo vệ bổ sung để phát hiện các kỹ thuật tạo Junction Point hoặc Oplock lạ trên hệ thống.

Đối với Quản lý Bảo mật (Security Managers):

  • Đánh giá lại Patch Management: Rà soát tốc độ cập nhật bản vá trong tổ chức. Các lỗ hổng LPE thường là bước đệm để mã độc tống tiền (Ransomware) lan rộng sau khi xâm nhập vào mạng nội bộ.
  • Bổ sung giải pháp EDR: Cân nhắc trang bị các giải pháp Phát hiện và Phản ứng trên điểm cuối (EDR) có khả năng phân tích hành vi để chặn đứng các chuỗi khai thác Zero-day ngay cả khi chưa có chữ ký nhận diện chính thức.
  • Hạn chế quyền quản trị: Áp dụng nghiêm ngặt nguyên tắc Đặc quyền tối thiểu để ngăn chặn người dùng thông thường thực thi các mã khai thác có khả năng tương tác với API hệ thống cấp cao.

Việc chủ động theo dõi các hành vi bất thường và duy trì một lịch trình cập nhật nghiêm ngặt là cách duy nhất để bảo vệ hạ tầng trước những lỗ hổng phát sinh từ chính các công cụ bảo mật tin cậy.

Nguồn: BleepingComputer, Tharros Security Analysis