Nhà nghiên cứu giận dữ tiết lộ lỗ hổng 0-day mới của Windows

Nhà nghiên cứu giận dữ tiết lộ lỗ hổng 0-day mới của Windows

Họ đang giận dữ với Redmond và họ sẽ có sự trả đũa của mình. Nightmare Eclipse, một người săn lỗi (bug hunter) đầy năng suất và có thể là một cựu nhân viên bất mãn của Microsoft, đã công bố một lỗ hổng zero-day mới chỉ vài giờ sau khi gã khổng lồ phần mềm phát hành số lượng bản vá và CVE kỷ lục trong ngày Patch Tuesday tháng 6.

Lỗ hổng zero-day mới nhất, mang tên RoguePlanet, nhắm vào Microsoft Defender và hoạt động trên các hệ thống Windows 10 và Windows 11 đã được cập nhật đầy đủ, theo lời nhà nghiên cứu này. Họ cũng đã phát hành mã khai thác khái niệm (proof-of-concept exploit) cho lỗi bảo mật này. Giả sử kẻ tấn công có thể thắng trong một tình trạng cạnh tranh (race condition), lỗi này cho phép leo thang đặc quyền cục bộ và dẫn đến việc kiểm soát máy ảnh hưởng ở cấp độ SYSTEM.

Mối thù với "gã khổng lồ" Redmond

Nightmare Eclipse (còn được gọi là Chaotic Eclipse) là một người săn lỗi bất mãn với sự hiểu biết sâu sắc về Windows và mối hận thù còn sâu sắc hơn với Microsoft. Họ tự nhận là cựu nhân viên và cáo buộc Redmond đã phớt lờ các báo cáo về lỗ hổng cũng như từ chối giao tiếp với họ.

"Khi tôi chủ động yêu cầu các bạn giao tiếp với tôi, các bạn đã từ chối, sỉ nhục tôi và chắc chắn làm nhục tôi trước mặt mọi người," họ viết trong một bài đăng trên blog trước đó, bài đăng cũng hứa hẹn một màn "tung đòn gãy xương" vào ngày 14 tháng 7.

Có thể như một kênh xả cơn giận này, và reportedly để phản ứng lại sự thiếu hành động của Redmond, Nightmare bắt đầu công bố các phát hiện của họ ra cộng đồng. RoguePlanet đánh dấu lỗ hổng zero-day thứ bảy của Microsoft mà họ tìm thấy và công bố — kèm theo mã khai thác PoC hoặc chi tiết kỹ thuật — trước khi Redmond đưa ra bản sửa lỗi.

Lịch sử các lỗ hổng bị rò rỉ

Phản ứng ban đầu của Microsoft đối với các thông báo rò rỉ này được cộng đồng bảo mật rộng lớn hiểu ngầm là một lời đe dọa hành động pháp lý, dẫn đến sự phẫn nộ lớn trước khi Redmond cố gắng xoa dịu làn sóng phản đối bằng cách tuyên bố họ "không có ý định theo đuổi hành động pháp lý đối với các cá nhân thực hiện hoặc công bố nghiên cứu bảo mật".

Tính đến thứ Ba, sáu lỗ hổng zero-day trước đó đều đã có bản vá. Ba trong số đó, bao gồm RedSun, UnDefend và BlueHammer, đã bị tấn công ngay sau khi Nightmare công bố mã khai thác hoạt động cho từng lỗi và trước khi Microsoft phát hành các bản cập nhật bảo mật để khắc phục. Ba lỗi còn lại là YellowKey, GreenPlasma và MiniPlasma đều đã được khắc phục trong Patch Tuesday tháng 6.

YellowKey (hay còn gọi là CVE-2026-45585) là lỗi bỏ qua tính năng bảo mật trong Windows BitLocker. Kẻ tấn công có quyền truy cập vật lý vào hệ thống bị ảnh hưởng có thể bỏ qua tính năng mã hóa thiết bị BitLocker và có quyền truy cập vào dữ liệu được mã hóa của thiết bị. GreenPlasma (CVE-2026-45586) và MiniPlasma (CVE-2020-17103) đều là lỗi leo thang đặc quyền trong Collaborative Translation Framework (CTFMON) và trình điều khiển Cloud Files Mini Filter, có thể bị kẻ tấn công lạm dụng để leo thang đặc quyền cục bộ và có quyền truy cập SYSTEM.

Khi được hỏi về RoguePlanet, một phát ngôn viên của Microsoft cho biết The Register rằng gã khổng lồ Windows "đã biết về lỗ hổng được báo cáo và đang tích cực điều tra tính hợp lệ và khả năng áp dụng tiềm năng của các tuyên bố này".

"Microsoft cam kết điều tra các vấn đề bảo mật và cập nhật các sản phẩm bị ảnh hưởng để bảo vệ khách hàng sớm nhất có thể. Quan trọng hơn, chúng tôi ủng hộ việc công bố lỗ hổng có phối hợp, một tiêu chuẩn ngành bảo vệ khách hàng và hỗ trợ cộng đồng nghiên cứu bằng cách đảm bảo các phát hiện của họ được điều tra và giải quyết kỹ lưỡng trước khi được công bố," phát ngôn viên nói thêm.

Xác thực từ cộng đồng bảo mật

Ngay sau khi Nightmare công bố PoC cho RoguePlanet, nhóm tình báo đe dọa ThreatLocker đã xác thực mã khai thác và cho biết họ đang "tích cực đánh giá tác động, các hệ thống bị ảnh hưởng và các biện pháp giảm thiểu thêm", hứa hẹn chia sẻ nhiều phát hiện hơn "khi có thông tin".

Will Dormann, chuyên gia phân tích lỗ hổng cấp cao của Tharros Labs và là một "thám tử bảo mật" lâu năm được tôn trọng, cũng cho biết ông đã thử nghiệm mã khai thác này.

"Được báo cáo là không hoạt động 100% đáng tin cậy, nhưng nó đã hoạt động ngay lần thử đầu tiên với tôi," Dormann viết.

Về phần mình, Nightmare đã rút lại lời hứa về một màn "tung đòn gãy xương" vào ngày 14 tháng 7.

"(Rất) may là tôi sẽ không thể công bố hàng loạt zero-day vào ngày 14 tháng 7, RoguePlanet tốn nhiều thời gian hơn dự kiến và thực sự khiến tôi kiệt sức," nhà nghiên cứu này nói vào thứ Ba. "Tôi có thể sẽ nghỉ ngơi một chút nhưng tôi không thể chắc chắn mình sẽ làm gì vào tháng tới, có thể là không có gì, có thể là điều gì đó. Nhưng điều lớn sẽ không diễn ra. Tôi không có ý định gây ra sự hoảng loạn hàng loạt với bài đăng đó và tôi xin lỗi vì đã làm như vậy."

Đây là một minh chứng rõ nét cho sự căng thẳng giữa các nhà nghiên cứu bảo mật độc lập và các công ty công nghệ lớn trong việc quản lý lộ trình công bố lỗ hổng.