Exploit Zero-Day 'RoguePlanet' Tấn Công Windows, Tăng Quyền Hệ Thống

Một nhà nghiên cứu bảo mật có biệt danh Nightmare Eclipse (còn gọi là Chaotic Eclipse) đã phát hành một khai thác zero-day mới có tên RoguePlanet. Điều này diễn ra ngay sau khi Microsoft tung ra các bản vá bảo mật thường kỳ (Patch Tuesday).

Màn hình xanh chết chóc trên Windows

Theo nhà nghiên cứu, khai thác khái niệm (PoC) này dẫn đến leo thang đặc quyền cục bộ (LPE) bằng cách tận dụng một lỗ hổng tình trạng cạnh tranh (race condition) trong Microsoft Defender.

Ban đầu, khai thác này có thể dẫn đến thực thi mã từ xa (RCE) bằng cách lừa nạn nhân mở tệp .vhd(x) trên máy chủ SMB từ xa hoặc chia sẻ SMB. Tuy nhiên, các biện pháp giảm thiểu mà Microsoft triển khai vào tháng 5 đã đóng một số đường dẫn tấn công này, buộc nhà nghiên cứu phải thiết kế lại khai thác để tập trung vào việc leo thang đặc quyền.

Hiện tại, vẫn chưa rõ liệu RoguePlanet có bị giới hạn ở LPE hay có thể được thiết kế lại để đạt được RCE hay không. PoC có thể không hoạt động ổn định mọi lúc, nhưng đã được kiểm thử trên các máy Windows 11 và Windows 10 với bản vá tháng 6 năm 2026.

Nightmare Eclipse cho biết: "Tôi tự tin rằng tất cả các phiên bản Windows Server đều bị ảnh hưởng, nhưng đến khi tôi nhận ra PoC không hoạt động trên cài đặt Windows Server thì đã quá muộn để thiết kế lại khai thác nhằm khắc phục vấn đề này."

Xác thực và Bối cảnh bảo mật

Ngay sau khi RoguePlanet được công bố, một số nhà nghiên cứu bảo mật đã xác nhận rằng nó có thể được sử dụng trên các máy tính đã được vá để mở cửa sổ dòng lệnh (command prompt) với quyền SYSTEM.

Lỗ hổng zero-day mới này được công bố ngay khi Microsoft phát hành bản vá cho hai khai thác khác do Nightmare Eclipse phát hành trước đó là GreenPlasma và YellowKey. Các lỗ hổng này tương ứng với CVE-2026-45586 (lỗi leo thang đặc quyền trong CTFMON) và CVE-2026-50507 (lỗi bypass BitLocker) được khắc phục trong bản vá Patch Tuesday tháng 6 năm 2026.

Trước đó, Microsoft cũng đã vá các lỗ hổng khác được tiết lộ bởi cùng một nhà nghiên cứu, bao gồm RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498) và BlueHammer (CVE-2026-33825), tất cả đều đã bị khai thác trong tự nhiên.

Mâu thuẫn giữa Nhà nghiên cứu và Microsoft

Hành động công bố liên tục các khai thác của Nightmare Eclipse xuất phát từ sự bất mãn với quy trình tiết lộ lỗ hổng của Microsoft và cách công ty đối xử với họ trong quá khứ.

Để đáp trả, Microsoft đã kêu gọi tiết lộ có trách nhiệm, tuyên bố họ sẽ theo đuổi hành động pháp lý chống lại bất kỳ ai tham gia vào các hoạt động mạng độc hại hoặc giúp đỡ những kẻ xấu.

Tuy nhiên, sau khi nhận được sự phản đối gay gắt từ cộng đồng bảo mật, gã khổng lồ công nghệ đã làm rõ rằng họ sẽ không "theo đuổi hành động pháp lý đối với các cá nhân thực hiện hoặc công bố nghiên cứu bảo mật của họ". Dù vậy, Nightmare Eclipse cho biết công ty đã đệ đơn kiện họ. Microsoft cũng đã đình chỉ tài khoản GitHub của nhà nghiên cứu này, và khai thác RoguePlanet được xuất bản trên một tài khoản mới có tên MSNightmare.