3 lỗ hổng zero-day Microsoft Defender bị khai thác, 2 chưa vá

Công ty bảo mật Huntress vừa phát đi cảnh báo khẩn cấp về việc các tin tặc đang tích cực khai thác 3 lỗ hổng zero-day mới được công bố trong Microsoft Defender. Những lỗ hổng này cho phép kẻ tấn công nâng cao đặc quyền trên các hệ thống đã bị xâm nhập, tạo ra mối đe dọa nghiêm trọng cho hàng triệu người dùng Windows trên toàn cầu. Điều đáng lo ngại nhất là trong số 3 lỗ hổng này, 2 lỗ hổng vẫn chưa được Microsoft phát hành bản vá bảo mật.

Chi tiết sự việc

Ba lỗ hổng bảo mật được phát hiện mang tên mã BlueHammer, RedSun và UnDefend, tất cả đều được công bố dưới dạng zero-day bởi một nhà nghiên cứu bảo mật sử dụng bí danh Chaotic Eclipse. Lỗ hổng BlueHammer yêu cầu tài khoản GitHub để truy cập thông tin chi tiết, trong khi RedSun và UnDefend đã được công bố rộng rãi trong cộng đồng bảo mật. Huntress đã xác nhận rằng các nhóm tin tặc đã bắt đầu weaponize những lỗ hổng này để tấn công vào các mục tiêu thực tế.

Theo báo cáo từ Huntress, hoạt động khai thác đã được phát hiện trên nhiều hệ thống khác nhau, cho thấy các tin tặc đã nhanh chóng tích hợp những lỗ hổng này vào arsenal tấn công của họ. Việc này đặc biệt nguy hiểm vì Microsoft Defender được cài đặt mặc định trên hầu hết các hệ thống Windows, tạo ra một bề mặt tấn công rộng lớn cho kẻ xấu khai thác.

Mức độ nghiêm trọng

Các lỗ hổng này được đánh giá ở mức độ nghiêm trọng cao vì chúng ảnh hưởng trực tiếp đến thành phần bảo mật cốt lõi của Windows. Microsoft Defender không chỉ là một phần mềm diệt virus thông thường mà còn là một thành phần quan trọng trong hệ sinh thái bảo mật của Windows, có khả năng truy cập sâu vào hệ thống. Khi bị khai thác, các lỗ hổng này cho phép tin tặc bypass nhiều cơ chế bảo vệ và chiếm quyền kiểm soát hoàn toàn hệ thống.

Tình hình trở nên nghiêm trọng hơn khi 2 trong 3 lỗ hổng vẫn chưa có bản vá chính thức từ Microsoft. Điều này có nghĩa là hàng triệu người dùng Windows đang trong tình trạng bị lộ ra trước các cuộc tấn công tiềm năng. Các tổ chức và doanh nghiệp đặc biệt cần quan tâm vì đây có thể là cửa ngõ cho các cuộc tấn công APT và ransomware quy mô lớn.

Phân tích kỹ thuật

Cả ba lỗ hổng đều tận dụng các điểm yếu trong cách Microsoft Defender xử lý và quản lý đặc quyền hệ thống. Cụ thể, các lỗ hổng này cho phép kẻ tấn công thực hiện privilege escalation - nâng cao quyền hạn từ người dùng thông thường lên administrator hoặc system level. Quá trình này thường được thực hiện thông qua việc lạm dụng các service của Defender hoặc exploit các race condition trong quá trình xử lý file.

Điều đáng chú ý là các lỗ hổng này không yêu cầu tương tác từ người dùng và có thể được khai thác tự động thông qua các script hoặc malware. Kẻ tấn công chỉ cần có quyền truy cập cục bộ vào hệ thống (có thể thông qua phishing hoặc social engineering) để có thể khai thác thành công. Sau khi exploit thành công, họ sẽ có toàn quyền kiểm soát máy tính và có thể thực hiện các hoạt động như cài đặt backdoor, đánh cắp dữ liệu hoặc mở rộng tấn công trong mạng nội bộ.

Khuyến nghị bảo mật

Trong khi chờ Microsoft phát hành bản vá chính thức, các tổ chức và người dùng cần áp dụng ngay các biện pháp bảo vệ tạm thời. Trước tiên, cần tăng cường giám sát hoạt động hệ thống và thiết lập các cảnh báo cho những hành vi bất thường liên quan đến privilege escalation. Thứ hai, nên hạn chế tối đa quyền của người dùng theo nguyên tắc least privilege và sử dụng các giải pháp endpoint protection bổ sung từ bên thứ ba. Cuối cùng, cần cập nhật ngay các bản vá bảo mật từ Microsoft khi chúng được phát hành và theo dõi chặt chẽ các thông báo bảo mật từ Microsoft Security Response Center.