Microsoft: Ba lỗ hổng zero-day trên Windows bị công khai đã bị khai thác, nhưng mới chỉ có một lỗ hổng được vá
Ba lỗ hổng zero-day của Windows được công khai hồi đầu tháng này hiện đều đã bị hacker khai thác trong các cuộc tấn công thực tế. Hai trong số đó liên quan đến việc leo thang đặc quyền cục bộ trong Microsoft Defender, trong khi lỗ hổng còn lại có thể chặn cập nhật cơ sở dữ liệu virus của Defender. Tuy nhiên, đến nay chỉ có lỗ hổng BlueHammer được vá.
Các nhà nghiên cứu bảo mật từ Huntress Labs cho biết vào ngày 16/4 rằng họ đã phát hiện dấu hiệu cho thấy cả ba lỗ hổng đều đang bị khai thác. Trong đó, lỗ hổng BlueHammer đã bị lợi dụng từ ngày 10/4.
Ngoài ra, trên một thiết bị Windows bị xâm nhập thông qua tài khoản SSLVPN bị lộ, các nhà nghiên cứu cũng phát hiện dấu vết khai thác của hai lỗ hổng còn lại là UnDefend và RedSun. Hoạt động tấn công cho thấy dấu hiệu của những hacker có kinh nghiệm thực chiến.
Ba lỗ hổng này được công bố lần lượt vào đầu tháng bởi một nhà nghiên cứu bảo mật sử dụng bí danh “Chaotic Eclipse” hoặc “Nightmare-Eclipse”.
Tính đến ngày 17/4, Microsoft chỉ mới gán mã CVE-2026-33825 cho lỗ hổng BlueHammer và đã vá trong bản cập nhật bảo mật tháng 4. Hai lỗ hổng còn lại vẫn chưa có bản vá chính thức.
BlueHammer là một lỗ hổng zero-day leo thang đặc quyền cục bộ trên Windows, được công bố lần đầu vào ngày 3/4. Lỗ hổng này khai thác cơ chế cập nhật chữ ký của Microsoft Defender bằng cách kết hợp điều kiện race condition kiểu TOCTOU (kiểm tra/thời điểm sử dụng) với kỹ thuật làm rối đường dẫn, từ đó đạt được quyền SYSTEM.
Microsoft đã vá lỗ hổng này trong bản cập nhật Patch Tuesday ngày 14/4. CVE-2026-33825 được đánh giá mức “quan trọng”, với điểm CVSS 7.8, cho phép kẻ tấn công cục bộ giành quyền SYSTEM trên hệ thống bị ảnh hưởng.
Tuy nhiên, ngay sau khi bản vá được phát hành, cùng nhà nghiên cứu tiếp tục công bố lỗ hổng zero-day thứ hai mang tên RedSun. Đây là một lỗ hổng leo thang đặc quyền chưa được vá, ảnh hưởng đến Windows 10, Windows 11 và Windows Server 2019 trở lên. Khi Microsoft Defender đang bật, kẻ tấn công vẫn có thể giành quyền SYSTEM ngay cả khi hệ thống đã cài đầy đủ bản vá tháng 4.
Lỗ hổng thứ ba, UnDefend, cho phép người dùng thông thường chặn việc cập nhật cơ sở dữ liệu virus của Microsoft Defender, làm suy giảm đáng kể khả năng bảo vệ của hệ thống.
Theo phân tích của Will Dormann (cựu chuyên gia CERT/CC), lỗ hổng RedSun lợi dụng Windows Cloud Files API để tạo file chứa chuỗi kiểm tra EICAR, kết hợp với opportunistic locking (oplock) để thắng race condition. Sau đó, kẻ tấn công hoán đổi điểm liên kết thư mục (reparse point) sang tiến trình quét có đặc quyền, khiến dữ liệu độc hại được ghi vào file hệ thống C:\Windows\System32\TieringEngineService.exe.
Khi dịch vụ Cloud Files được gọi lần tiếp theo, file nhị phân do attacker kiểm soát sẽ chạy với quyền SYSTEM.
Dormann cho biết lỗ hổng này có thể giúp leo thang từ người dùng thường lên SYSTEM với độ tin cậy gần như 100% trên Windows 11 và Windows Server (đã cài bản vá tháng 4), và Windows 10 cũng bị ảnh hưởng.
Trong khi đó, BlueHammer khai thác quy trình cập nhật chữ ký của Defender bằng cách đặt oplock trên file mpasbase.vdm, kết hợp symbolic link và directory junction để chuyển hướng ghi dữ liệu SYSTEM qua shadow copy sang registry SAM và SYSTEM. Điều này cho phép trích xuất NTLM hash và thực hiện tấn công pass-the-hash. Trên Windows Server, do cơ chế kiểm tra quyền khác biệt, kết quả thường là leo thang lên quyền Administrator thay vì SYSTEM.
Việc công bố ba lỗ hổng bắt nguồn từ sự bất mãn của nhà nghiên cứu đối với quy trình xử lý của Microsoft Security Response Center (MSRC). Theo Chaotic Eclipse, MSRC từng yêu cầu cung cấp video khai thác làm bằng chứng — điều được cho là không phổ biến trong cộng đồng bảo mật, nơi PoC và mô tả kỹ thuật thường đã đủ.
Nhà nghiên cứu cũng chỉ trích chất lượng MSRC giảm sút do Microsoft thay thế các chuyên gia giàu kinh nghiệm bằng nhân sự ít kinh nghiệm hơn.
Trong thông báo bảo mật CVE-2026-33825, Microsoft ghi nhận công lao phát hiện thuộc về Zen Dodd và Yuanpei Xu, thay vì Chaotic Eclipse. Tranh cãi về ghi nhận này được cho là nguyên nhân trực tiếp khiến nhà nghiên cứu công bố thêm các lỗ hổng khác.
Người này sau đó tuyên bố: “Tôi sẽ đảm bảo rằng mỗi lần Microsoft phát hành bản vá, mọi thứ sẽ trở nên thú vị hơn.”
Microsoft cho biết họ luôn cam kết điều tra các vấn đề bảo mật được báo cáo và sẽ phát hành bản vá sớm nhất có thể. Công ty cũng nhấn mạnh việc ủng hộ cơ chế công bố lỗ hổng có phối hợp nhằm bảo vệ người dùng và hỗ trợ cộng đồng nghiên cứu bảo mật.
Tuy nhiên, tính đến ngày 17/4, Microsoft vẫn chưa phát hành bản vá hoặc biện pháp giảm thiểu tạm thời cho RedSun và UnDefend.
Các chuyên gia bảo mật khuyến nghị doanh nghiệp:
Ba lỗ hổng zero-day của Windows được công khai hồi đầu tháng này hiện đều đã bị hacker khai thác trong các cuộc tấn công thực tế. Hai trong số đó liên quan đến việc leo thang đặc quyền cục bộ trong Microsoft Defender, trong khi lỗ hổng còn lại có thể chặn cập nhật cơ sở dữ liệu virus của Defender. Tuy nhiên, đến nay chỉ có lỗ hổng BlueHammer được vá.
Ngoài ra, trên một thiết bị Windows bị xâm nhập thông qua tài khoản SSLVPN bị lộ, các nhà nghiên cứu cũng phát hiện dấu vết khai thác của hai lỗ hổng còn lại là UnDefend và RedSun. Hoạt động tấn công cho thấy dấu hiệu của những hacker có kinh nghiệm thực chiến.
Ba lỗ hổng này được công bố lần lượt vào đầu tháng bởi một nhà nghiên cứu bảo mật sử dụng bí danh “Chaotic Eclipse” hoặc “Nightmare-Eclipse”.
Tính đến ngày 17/4, Microsoft chỉ mới gán mã CVE-2026-33825 cho lỗ hổng BlueHammer và đã vá trong bản cập nhật bảo mật tháng 4. Hai lỗ hổng còn lại vẫn chưa có bản vá chính thức.
Chi tiết các lỗ hổng
BlueHammer là một lỗ hổng zero-day leo thang đặc quyền cục bộ trên Windows, được công bố lần đầu vào ngày 3/4. Lỗ hổng này khai thác cơ chế cập nhật chữ ký của Microsoft Defender bằng cách kết hợp điều kiện race condition kiểu TOCTOU (kiểm tra/thời điểm sử dụng) với kỹ thuật làm rối đường dẫn, từ đó đạt được quyền SYSTEM.
Microsoft đã vá lỗ hổng này trong bản cập nhật Patch Tuesday ngày 14/4. CVE-2026-33825 được đánh giá mức “quan trọng”, với điểm CVSS 7.8, cho phép kẻ tấn công cục bộ giành quyền SYSTEM trên hệ thống bị ảnh hưởng.
Tuy nhiên, ngay sau khi bản vá được phát hành, cùng nhà nghiên cứu tiếp tục công bố lỗ hổng zero-day thứ hai mang tên RedSun. Đây là một lỗ hổng leo thang đặc quyền chưa được vá, ảnh hưởng đến Windows 10, Windows 11 và Windows Server 2019 trở lên. Khi Microsoft Defender đang bật, kẻ tấn công vẫn có thể giành quyền SYSTEM ngay cả khi hệ thống đã cài đầy đủ bản vá tháng 4.
Lỗ hổng thứ ba, UnDefend, cho phép người dùng thông thường chặn việc cập nhật cơ sở dữ liệu virus của Microsoft Defender, làm suy giảm đáng kể khả năng bảo vệ của hệ thống.
Phương thức tấn công: Biến Defender thành công cụ khai thác
Theo phân tích của Will Dormann (cựu chuyên gia CERT/CC), lỗ hổng RedSun lợi dụng Windows Cloud Files API để tạo file chứa chuỗi kiểm tra EICAR, kết hợp với opportunistic locking (oplock) để thắng race condition. Sau đó, kẻ tấn công hoán đổi điểm liên kết thư mục (reparse point) sang tiến trình quét có đặc quyền, khiến dữ liệu độc hại được ghi vào file hệ thống C:\Windows\System32\TieringEngineService.exe.
Mitigate zero-day vulnerabilities - Microsoft Defender Vulnerability Management
Learn how to find and mitigate zero-day vulnerabilities in your environment through Microsoft Defender Vulnerability Management.
learn.microsoft.com
Khi dịch vụ Cloud Files được gọi lần tiếp theo, file nhị phân do attacker kiểm soát sẽ chạy với quyền SYSTEM.
Dormann cho biết lỗ hổng này có thể giúp leo thang từ người dùng thường lên SYSTEM với độ tin cậy gần như 100% trên Windows 11 và Windows Server (đã cài bản vá tháng 4), và Windows 10 cũng bị ảnh hưởng.
Trong khi đó, BlueHammer khai thác quy trình cập nhật chữ ký của Defender bằng cách đặt oplock trên file mpasbase.vdm, kết hợp symbolic link và directory junction để chuyển hướng ghi dữ liệu SYSTEM qua shadow copy sang registry SAM và SYSTEM. Điều này cho phép trích xuất NTLM hash và thực hiện tấn công pass-the-hash. Trên Windows Server, do cơ chế kiểm tra quyền khác biệt, kết quả thường là leo thang lên quyền Administrator thay vì SYSTEM.
Tranh cãi công bố: Nhà nghiên cứu chỉ trích Microsoft
Việc công bố ba lỗ hổng bắt nguồn từ sự bất mãn của nhà nghiên cứu đối với quy trình xử lý của Microsoft Security Response Center (MSRC). Theo Chaotic Eclipse, MSRC từng yêu cầu cung cấp video khai thác làm bằng chứng — điều được cho là không phổ biến trong cộng đồng bảo mật, nơi PoC và mô tả kỹ thuật thường đã đủ.
Nhà nghiên cứu cũng chỉ trích chất lượng MSRC giảm sút do Microsoft thay thế các chuyên gia giàu kinh nghiệm bằng nhân sự ít kinh nghiệm hơn.
Trong thông báo bảo mật CVE-2026-33825, Microsoft ghi nhận công lao phát hiện thuộc về Zen Dodd và Yuanpei Xu, thay vì Chaotic Eclipse. Tranh cãi về ghi nhận này được cho là nguyên nhân trực tiếp khiến nhà nghiên cứu công bố thêm các lỗ hổng khác.
Người này sau đó tuyên bố: “Tôi sẽ đảm bảo rằng mỗi lần Microsoft phát hành bản vá, mọi thứ sẽ trở nên thú vị hơn.”
Phản hồi từ Microsoft và khuyến nghị
Microsoft cho biết họ luôn cam kết điều tra các vấn đề bảo mật được báo cáo và sẽ phát hành bản vá sớm nhất có thể. Công ty cũng nhấn mạnh việc ủng hộ cơ chế công bố lỗ hổng có phối hợp nhằm bảo vệ người dùng và hỗ trợ cộng đồng nghiên cứu bảo mật.
Tuy nhiên, tính đến ngày 17/4, Microsoft vẫn chưa phát hành bản vá hoặc biện pháp giảm thiểu tạm thời cho RedSun và UnDefend.
Các chuyên gia bảo mật khuyến nghị doanh nghiệp:
- Tăng cường giám sát log của Microsoft Defender
- Theo dõi các hành vi bất thường như tạo reparse point hoặc oplock
- Triển khai Windows Defender Application Control hoặc AppLocker trên các hệ thống quan trọng để tăng cường phòng thủ nhiều lớp
BÀI MỚI ĐANG THẢO LUẬN