Lỗ hổng Microsoft Defender bị khai thác dưới dạng Zero-Day trong tự nhiên

Huntress vừa đưa ra cảnh báo về việc một lỗ hổng leo quyền trong Microsoft Defender đã bị khai thác trong tự nhiên dưới dạng zero-day (lỗ hổng chưa có bản vá), sử dụng mã khai thác khái niệm (PoC) đã được công khai.

Màn hình xanh chết chóc Windows

Vấn đề này, được theo dõi dưới mã định danh CVE-2026-33825 (điểm CVSS 7.8), đã được Microsoft vá vào ngày 14 tháng 4. Microsoft mô tả đây là lỗi leo quyền bắt nguồn từ sự thiếu chi tiết trong kiểm soát truy cập.

CVE này được công khai vào ngày 2 tháng 4 bởi một nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse và Nightmare-Eclipse. Người này cảnh báo rằng đây là một lỗi điều kiện tranh chấp (race condition) dẫn đến việc có được đặc quyền System hoàn toàn.

Nhà nghiên cứu đã đặt tên cho lỗ hổng này là BlueHammer và đăng tải mã khai thác PoC lên kho lưu trữ GitHub của mình. Sự quan tâm đối với mã khai thác này tăng vọt nhanh chóng, được thúc đẩy bởi một bản fork đã sửa một số lỗi trong triển khai của nhà nghiên cứu gốc và bao gồm cả tài liệu cũng như hướng dẫn sử dụng.

Cơ chế hoạt động của BlueHammer

BlueHammer là một lỗi thời gian kiểm tra đến thời gian sử dụng (TOCTOU - time-of-check to time-of-use) trong cơ chế cập nhật chữ ký của Defender. Nó cho phép một kẻ tấn công có quyền thấp có thể đạt được quyền hạn của System.

Các cuộc tấn công đầu tiên tận dụng PoC công khai này được phát hiện vào ngày 10 tháng 4, với thêm hoạt động quan sát được vào ngày 16 tháng 4, theo cảnh báo từ công ty an ninh mạng Huntress.

"Huntress đã xác định quyền truy cập SSL VPN FortiGate đáng ngờ liên quan đến môi trường bị xâm phạm, bao gồm một địa chỉ IP định vị tại Nga, với cơ sở hạ tầng đáng ngờ bổ sung được quan sát thấy ở các khu vực khác," công ty cho biết.

Các cuộc tấn công đã sử dụng cả ba kỹ thuật mà Chaotic Eclipse công bố, bao gồm BlueHammer, RedSun và UnDefend.

Các kỹ thuật khai thác

BlueHammer dựa vào các khóa hoạt động (oplocks) để treo hoạt động của Defender và kích hoạt cập nhật chữ ký để lừa Defender sao chép cơ sở dữ liệu SAM (Security Account Manager) vào thư mục đầu ra của nó.

Sau đó, BlueHammer phân tích hive SAM, giải mã băm NT của người dùng, tạm thời thay đổi tất cả mật khẩu người dùng thành mật khẩu mới và sử dụng mật khẩu mới để tạo phiên quản trị viên có thể được sử dụng để có được quyền System.

RedSun hoạt động tương tự, nhưng dựa vào việc ghi lại các tệp hệ thống quan trọng để đạt được đặc quyền System. Nó lừa Defender cố gắng khôi phục một "tệp độc hại" không tồn tại để đặt một bản sao của chính nó vào thư mục System32, sau đó tạo một shell với quyền System.

UnDefend tiêu diệt Defender bằng cách khóa các tệp định nghĩa. Để làm điều này, nó giám sát các thay đổi đối với các bản cập nhật định nghĩa và các thư mục Công cụ loại bỏ phần mềm độc hại của Microsoft để khóa các tệp mới trước khi Defender có thể sử dụng chúng, và khóa các tệp định nghĩa sao lưu ngay sau khi khởi động của Defender.

"Một trong những mô hình rõ ràng nhất mà Huntress quan sát thấy là việc sử dụng các thư mục có thể ghi bởi người dùng để dàn dựng và thực thi. Trong trường hợp gần đây nhất, các tệp nhị phân được dàn xếp từ thư mục Pictures của người dùng có quyền thấp và các thư mục con hai chữ cái ngắn dưới Downloads," Huntress cho biết.

Công ty an ninh mạng này cho biết những kẻ tấn công đã truy cập vào môi trường mục tiêu thông qua kết nối SSL VPN đến tường lửa FortiGate. Những tin tặc này không quen thuộc với cách thức hoạt động của các khai thác Defender và đã không thành công trong các nỗ lực của họ, nhưng đã thực hiện các hoạt động trinh sát bàn phím thủ công.

Vào thứ Tư, cơ quan an ninh mạng Mỹ CISA đã thêm CVE-2026-33825 vào danh mục Lỗ hổng đã được khai thác (KEV - Known Exploited Vulnerabilities), kêu gọi các cơ quan liên bang vá lỗi trước ngày 6 tháng 5.