Lỗ hổng Zero-day ‘RoguePlanet’ trên Microsoft Defender cho phép chiếm quyền SYSTEM trên Windows

Một nhà nghiên cứu bảo mật ẩn danh với biệt danh “Chaotic Eclipse” (hay còn gọi là Nightmare-Eclipse) vừa công bố mã khai thác (PoC) cho một lỗ hổng zero-day mới trên Microsoft Defender, được đặt tên là RoguePlanet.

Theo chia sẻ từ tác giả trên GitHub, đây là một dạng lỗ hổng race condition. Mặc dù hiệu quả của mã khai thác không ổn định 100% trên mọi thiết bị, nhưng nếu thành công, kẻ tấn công có thể giành được quyền truy cập ở cấp độ SYSTEM, từ đó thực thi mã tùy ý hoặc thực hiện các hành vi trái phép trên hệ thống.

Đáng chú ý, lỗ hổng này đã được thử nghiệm thành công trên các máy tính chạy Windows 10 và Windows 11 đã cài đặt bản cập nhật Patch Tuesday tháng 6/2026. Điều này đồng nghĩa với việc ngay cả các hệ điều hành đã được vá lỗi mới nhất vẫn có nguy cơ bị tấn công. Tuy nhiên, ở thời điểm hiện tại, mã khai thác này chưa hoạt động trên Windows Server do hạn chế về việc mount file ISO đối với người dùng tiêu chuẩn.

RoguePlanet là lỗ hổng mới nhất trong chuỗi các phát hiện của Chaotic Eclipse gần đây, bao gồm BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) và RedSun (CVE-2026-41091). Việc công bố công khai các lỗ hổng này được cho là động thái đáp trả sau những bất đồng gay gắt giữa nhà nghiên cứu và Microsoft liên quan đến quy trình xử lý lỗ hổng (Coordinated Vulnerability Disclosure).

Nhà nghiên cứu cáo buộc Microsoft đã hủy quyền truy cập vào tài khoản MSRC (Microsoft Security Response Center) của họ, đồng thời phớt lờ các báo cáo và không có chính sách đền bù thỏa đáng. Về phía Microsoft, hãng khẳng định không ủng hộ việc công bố lỗ hổng công khai vì gây rủi ro không cần thiết cho người dùng, đồng thời nhấn mạnh cam kết làm việc với cộng đồng nghiên cứu bảo mật một cách chuyên nghiệp và minh bạch.

Nguồn tham khảo: The Hacker News