RedSun: Lỗ hổng bảo mật cho phép leo thang đặc quyền trên Windows thông qua Windows Defender

Một lỗ hổng bảo mật mới mang tên RedSun vừa được công bố, gây chú ý đặc biệt nhờ cách thức khai thác vô cùng độc đáo và cả hài hước liên quan đến chính công cụ bảo mật của Microsoft.

Theo mô tả từ nhà nghiên cứu, RedSun ảnh hưởng đến các phiên bản Windows 10, Windows 11 và Windows Server. Vấn đề nằm ở cách Windows Defender xử lý các tệp tin bị gắn thẻ đám mây (cloud tag).

Minh họa lỗ hổng RedSun

Cơ chế hoạt động của RedSun

Bình thường, khi phát hiện một tệp tin độc hại, nhiệm vụ của phần mềm chống độc hại là cách ly hoặc xóa bỏ nó. Tuy nhiên, RedSun lại khai thác một hành vi lạ của Windows Defender.

Khi Windows Defender nhận diện một tệp tin độc hại có chứa thẻ đám mây, vì một lý do nào đó, trình diệt virus này quyết định ghi đè (rewrite) tệp tin đó trở lại vị trí ban đầu của nó thay vì xóa bỏ hoàn toàn.

Leo thang đặc quyền

Mã khai thác khái niệm (PoC - Proof of Concept) của RedSun đã tận dụng hành vi này để ghi đè lên các tệp hệ thống quan trọng. Bằng cách thay thế các tệp hệ thống hợp pháp bằng tệp độc hại do kẻ tấn công kiểm soát, người dùng có thể dễ dàng leo thang đặc quyền và cấp quyền quản trị viên (administrative privileges) cho chính mình.

Đây là một nghịch lý khi công cụ được thiết kế để bảo vệ hệ thống lại trở thành công cụ giúp kẻ tấn công xâm nhập sâu hơn.

Kết luận

Lỗ hổng này nhắc nhở chúng ta về sự phức tạp trong việc thiết kế các giải pháp bảo mật. Một logic xử lý sai lầm trong phần mềm chống virus có thể tạo ra hậu quả nghiêm trọng hơn nhiều so với việc không có nó. Hiện tại, người dùng Windows nên cập nhật các bản vá bảo mật mới nhất từ Microsoft để ngăn chặn rủi ro này.