Microsoft vá lỗi zero-day nghiêm trọng trong Defender đang bị tấn công thực tế

Microsoft vừa tung ra các bản vá khẩn cấp để khắc phục hai lỗ hổng bảo mật nghiêm trọng trong phần mềm Microsoft Defender. Công ty cảnh báo rằng các lỗ hổng này hiện đang bị tin tặc khai thác dưới dạng zero-day (lỗ hổng chưa được vá tại thời điểm tấn công).

Microsoft Defender

Chi tiết các lỗ hổng

Lỗ hổng đầu tiên, được theo dõi dưới mã định danh CVE-2026-41091 (điểm CVSS 7.8), là một vấn đề liên quan đến việc theo dõi liên kết (link-following). Lỗi này cho phép kẻ tấn công leo thang đặc quyền từ cấp độ người dùng thông thường lên cấp độ System – mức cao nhất trên hệ điều hành Windows.

Microsoft mô tả trong bản tư vấn bảo mật của mình: "Việc giải quyết liên kết không đúng trước khi truy cập tệp trong Microsoft Defender cho phép kẻ tấn công được ủy quyền leo thang đặc quyền cục bộ."

Lỗ hổng thứ hai, được gán mã CVE-2026-45498 (điểm CVSS 4.0), là một lỗi từ chối dịch vụ (DoS). Mặc dù mức độ nghiêm trọng thấp hơn theo thang điểm CVSS, nhưng nó vẫn có thể gây gián đoạn hoạt động của hệ thống.

Bảo mật

Microsoft đã khắc phục hai khiếm khuyết bảo mật này trong phiên bản nền tảng Microsoft Defender Antimalware 4.18.26040.7. Theo công ty, các hệ thống đã tắt Microsoft Defender sẽ không bị ảnh hưởng, mặc dù tệp của Defender vẫn còn tồn tại trên ổ đĩa.

Biến thể của exploit BlueHammer

Theo bài đăng của Microsoft MVP Fabian Bader, hai lỗ hổng này là các biến thể RedSun và UnDefend của exploit BlueHammer mà nhà nghiên cứu bảo mật Chaos Eclipse đã công khai vào tháng trước. BlueHammer cũng đã được xác nhận là đang bị khai thác trong thực tế.

Cả hai lỗ hổng đều đã được công khai và có bằng chứng cho thấy việc khai thác trong tự nhiên đã xảy ra, mặc dù Microsoft chưa cung cấp chi tiết cụ thể về các cuộc tấn công này.

CISA yêu cầu cập nhật gấp

Vào thứ Tư, Cơ quan An ninh mạng và An ninh hạ tầng Hoa Kỳ (CISA) đã thêm cả hai lỗi này vào danh sách Lỗ hổng đã biết là bị khai thác (KEV). Cơ quan này kêu gọi các cơ quan liên bang áp dụng bản vá trước ngày 3 tháng 6.

Bên cạnh hai lỗi mới của Defender, CISA cũng bổ sung thêm năm vấn đề bảo mật khác vào danh sách KEV, tất cả đều được công bố cách đây hơn một thập kỷ. Các lỗ hổng cũ này bao gồm các lỗi thực thi mã từ xa (RCE) trong các phiên bản Windows cũ, Microsoft DirectX, Adobe Acrobat và Internet Explorer.

Các tổ chức được khuyên nên xem xét danh sách KEV của CISA và khắc phục các lỗ hổng càng sớm càng tốt để bảo vệ hệ thống trước các mối đe dọa mạng.