-
09/04/2020
-
141
-
2.020 bài viết
Microsoft vá lỗ hổng RoguePlanet trên Defender, ngăn nguy cơ chiếm quyền SYSTEM
Sau gần một tháng kể từ khi mã khai thác được công khai, Microsoft đã phát hành bản cập nhật khắc phục RoguePlanet, lỗ hổng leo thang đặc quyền được định danh là CVE-2026-50656 trong Microsoft Defender. Đáng chú ý, lỗi tồn tại trong Malware Protection Engine, thành phần chịu trách nhiệm quét và xử lý mã độc của Defender, làm dấy lên lo ngại về nguy cơ các cơ chế phòng vệ tích hợp sẵn trên Windows bị khai thác ngược để phục vụ tấn công.
Theo thông tin từ Microsoft, CVE-2026-50656 có điểm CVSS 7.8 và ảnh hưởng đến Microsoft Malware Protection Engine (mpengine.dll), engine chịu trách nhiệm phân tích và xử lý các tệp nghi ngờ độc hại trong Microsoft Defender. Lỗ hổng đã được khắc phục trong phiên bản Malware Protection Engine 1.1.26060.3008, đồng thời hãng cũng triển khai thêm một số biện pháp tăng cường nhằm củng cố khả năng phòng vệ của nền tảng.
RoguePlanet được phát hiện bởi Chaotic Eclipse, một nhà nghiên cứu bảo mật thường được biết đến với biệt danh Nightmare-Eclipse. Theo thông tin được chia sẻ, lỗ hổng xuất phát từ một lỗi race condition trong Malware Protection Engine. Việc khai thác thành công có thể giúp kẻ tấn công tạo tiến trình với quyền SYSTEM, từ đó thực thi mã tùy ý hoặc thực hiện các hành động trái phép trên hệ thống.
Mặc dù được phân loại là lỗ hổng leo thang đặc quyền, RoguePlanet vẫn thu hút sự quan tâm đáng kể từ giới nghiên cứu bởi thành phần bị ảnh hưởng là Malware Protection Engine. Không giống các ứng dụng thông thường, thành phần này thường xuyên xử lý các tệp và dữ liệu không đáng tin cậy, đồng thời được cấp quyền truy cập sâu vào hệ điều hành để thực hiện các chức năng phát hiện và ngăn chặn mối đe dọa. Vì vậy, bất kỳ sai sót nào trong quá trình xử lý cũng có thể tạo ra cơ hội để đối tượng tấn công mở rộng quyền kiểm soát trên hệ thống đã xâm nhập.
Theo thông tin được công bố, mã khai thác RoguePlanet có thể hoạt động trên các hệ thống Windows đã cài đặt đầy đủ bản cập nhật Patch Tuesday tháng 6/2026. Chaotic Eclipse cũng cho biết khả năng khai thác không phụ thuộc vào trạng thái bật hay tắt của tính năng Real-time Protection, đồng nghĩa các cơ chế bảo vệ thời gian thực không thể ngăn chặn bản chất của lỗ hổng này.
Microsoft cho biết bản vá được phân phối tự động thông qua cơ chế cập nhật của Defender. Tuy nhiên, đối với môi trường doanh nghiệp, các nhóm quản trị vẫn nên rà soát phiên bản Malware Protection Engine trên các thiết bị đầu cuối để bảo đảm hệ thống đã nhận bản cập nhật 1.1.26060.3008. Việc xác minh trạng thái cập nhật đặc biệt quan trọng đối với các tổ chức có quy trình quản lý bản vá tập trung hoặc áp dụng chính sách trì hoãn cập nhật.
RoguePlanet không phải là phát hiện đầu tiên của Chaotic Eclipse liên quan đến Microsoft Defender. Trước đó, nhà nghiên cứu này từng công bố ba lỗ hổng khác gồm BlueHammer mang mã CVE-2026-33825, UnDefend mang mã CVE-2026-45498 và RedSun mang mã CVE-2026-41091. Các lỗ hổng này hiện đều đã được Microsoft khắc phục thông qua các bản cập nhật trước đó. Việc liên tiếp xuất hiện các lỗ hổng trong Defender thời gian qua cho thấy các thành phần bảo mật chạy với đặc quyền cao vẫn là mục tiêu nghiên cứu quan trọng của cộng đồng an ninh mạng. Đối với các tổ chức sử dụng Defender làm lớp bảo vệ đầu cuối chủ đạo, việc theo dõi và cập nhật Malware Protection Engine kịp thời tiếp tục là yêu cầu cần thiết nhằm giảm thiểu rủi ro từ các lỗ hổng leo thang đặc quyền.