Microsoft đang gấp rút phát triển bản vá cho lỗ hổng zero-day 'RoguePlanet' trong Defender

Microsoft vừa đưa ra một bản tư vấn bảo mật chính thức thừa nhận sự công khai của một lỗ hổng trong Microsoft Defender, lỗi này có thể dẫn đến việc leo thang đặc quyền nguy hiểm.

Lỗi bảo mật này hiện đang được theo dõi dưới mã định danh CVE-2026-50656 với điểm số CVSS là 7.8 (mức độ cao). Lỗ hổng được công bố lần đầu vào tuần trước bởi nhà nghiên cứu bảo mật Nightmare Eclipse (còn được biết đến với tên Chaotic Eclipse).

Windows 10

Trong bản tư vấn, gã khổng lồ công nghệ Mỹ cho biết: "Microsoft đã biết đến sự leo thang đặc quyền trong Microsoft Malware Protection Engine của Microsoft Defender, được công chúng gọi là 'RoguePlanet'".

"Chúng tôi đang nỗ lực cung cấp bản cập nhật bảo mật chất lượng cao để giải quyết lỗ hổng này. Chúng tôi sẽ cung cấp thông tin chi tiết trong CVE này khi bản cập nhật sẵn có," đại diện Microsoft bổ sung.

Cơ chế hoạt động của RoguePlanet

Nightmare Eclipse giải thích rằng RoguePlanet nhắm vào một tình trạng cạnh tranh (race condition) trong Microsoft Defender, cho phép kẻ tấn công giành được đặc quyền System – mức cao nhất trên hệ điều hành Windows.

Nhà nghiên cứu này đã phát hành một bản khai thác khái niệm (PoC) chứng minh khả năng leo thang đặc quyền cục bộ (LPE) trên các hệ thống Windows 11 và Windows 10 đã cài đặt các bản vá tháng 6 năm 2026.

Ban đầu, Nightmare Eclipse lưu ý rằng lỗi này có thể bị lạm dụng để thực thi mã từ xa (RCE). Tuy nhiên, một số đường dẫn khai thác đã bị bịt kín vào tháng 5, khi Microsoft tung ra các bản cập nhật nhằm tăng cường độ bảo mật cho Defender.

Bản PoC của RoguePlanet đã được viết lại để vượt qua các biện pháp giảm thiểu này. Mặc dù hiện tại quá trình khai thác có thể chưa ổn định hoàn toàn, nhà nghiên cứu tin rằng nó có thể được tinh chỉnh để hoạt động hiệu quả mọi lúc, thậm chí trên cả các hệ thống Windows Server.

Đáng chú ý, vào thứ Tư vừa qua, Nightmare Eclipse đã chỉ ra rằng bản PoC này hoạt động bất kể tính năng bảo vệ thời gian thực (real-time protection) của Defender đang được bật hay tắt. Nó thậm chí có thể hoạt động ngay cả khi Defender đang ở chế độ thụ động.

Bối cảnh và các lỗ hổng trước đó

Trong vài tháng qua, spurred by sự bất mãn đối với quy trình công bố lỗ hổng của Microsoft, Nightmare Eclipse đã công bố nhiều khai thác zero-day nhắm vào các sản phẩm của công ty. Các lỗ hổng đáng chú ý bao gồm BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) và UnDefend (CVE-2026-45498), tất cả đều đã bị khai thác trong tự nhiên.

Microsoft đã tung ra các bản sửa lỗi cho cả ba lỗ hổng trên. Ngoài ra, bản cập nhật Patch Tuesday tháng 6 năm 2026 cũng bao gồm các bản vá cho hai khai thác khác của Nightmare Eclipse là GreenPlasma và YellowKey.

RoguePlanet là khai thác thứ hai của Nightmare Eclipse được Microsoft nhắc đến trong một bản tư vấn. Lỗ hổng đầu tiên là YellowKey, trong bản tư vấn tháng 5 cung cấp các biện pháp giảm thiểu đồng thời cáo buộc nhà nghiên cứu này vi phạm các phương pháp tốt nhất về phối hợp công bố lỗ hổng. Những bình luận của Microsoft vào thời điểm đó đã gây ra phản ứng dữ dội từ cộng đồng an ninh mạng.