Lỗ hổng Zero-day mới trên Windows bị công khai ngay sau Patch Tuesday tháng 7/2026
Một nhà nghiên cứu bảo mật vừa công bố PoC cho lỗ hổng zero-day trên Windows mang tên LegacyHive, ngay sau khi Microsoft phát hành bản cập nhật Patch Tuesday tháng...
Chỉ vài giờ sau khi Microsoft phát hành bản cập nhật định kỳ Patch Tuesday tháng 7/2026, một nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse (hay còn gọi là Nightmare-Eclipse) đã công khai mã khai thác proof-of-concept (PoC) cho một lỗ hổng zero-day mới trên hệ điều hành Windows.
Table Of Content
Chi tiết về lỗ hổng LegacyHive
Lỗ hổng này được định danh là LegacyHive, liên quan đến khả năng leo thang đặc quyền thông qua dịch vụ Windows User Profile Service (ProfSvc) – một thành phần cốt lõi quản lý tài khoản và môi trường người dùng. Theo tác giả, PoC này cho phép kẻ tấn công mount (gắn) hive của người dùng mục tiêu vào root lớp người dùng hiện tại.
Mặc dù phiên bản PoC được công bố đã bị lược bỏ bớt các tính năng nguy hiểm để hạn chế việc lạm dụng công khai, nhà nghiên cứu khẳng định lỗ hổng này có thể được tùy biến để load bất kỳ hive nào. Đáng chú ý, lỗ hổng này vẫn tồn tại và hoạt động trên tất cả các phiên bản Windows desktop và server hiện được hỗ trợ, bao gồm cả những hệ thống đã cài đặt bản vá tháng 7/2026.
Căng thẳng giữa nhà nghiên cứu và Microsoft
Sự việc này tiếp nối chuỗi tranh cãi kéo dài từ tháng 4/2026 giữa Chaotic Eclipse và Microsoft. Nhà nghiên cứu cho biết sự thiếu hụt trong quy trình phản hồi và giao tiếp từ phía Microsoft đã khiến họ quyết định công khai chi tiết các lỗ hổng trước khi bản vá được phát hành. Trước đó, ba lỗ hổng trong Microsoft Defender đã bị khai thác thực tế ngay sau khi được công bố.
Cảnh báo về lỗ hổng trên SharePoint Server
Song song với sự cố trên, bản cập nhật tháng 7/2026 của Microsoft cũng tập trung xử lý 622 lỗ hổng, trong đó có nhiều lỗi nghiêm trọng trên SharePoint Server và Active Directory Federation Services. Cụ thể, các lỗ hổng như CVE-2026-56164 và CVE-2026-56155 đã được CISA đưa vào danh sách Known Exploited Vulnerabilities (KEV) do đang bị khai thác tích cực.
Các chuyên gia từ Rapid7 và Action1 cảnh báo rằng kẻ tấn công có thể lợi dụng các lỗ hổng này để thực thi mã từ xa (RCE), chiếm quyền điều khiển IIS machine keys, hoặc thực hiện các kỹ thuật deserialization nhằm duy trì quyền truy cập trái phép. Đặc biệt, lỗ hổng CVE-2026-55040 với điểm CVSS 9.1 cho phép kẻ tấn công bỏ qua xác thực (authentication bypass) trên SharePoint Server, tạo điều kiện cho các hành vi xâm nhập sâu hơn vào hệ thống.
Người dùng và quản trị viên hệ thống được khuyến cáo nhanh chóng kiểm tra và áp dụng các bản vá bảo mật mới nhất từ Microsoft để giảm thiểu rủi ro bị khai thác.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.