Microsoft xác nhận lỗ hổng zero-day ‘RoguePlanet’ trên Defender, đang phát triển bản vá

Microsoft đã chính thức thừa nhận đang phát triển bản vá cho một lỗ hổng zero-day nghiêm trọng trong Microsoft Defender, được giới nghiên cứu đặt tên là RoguePlanet. Lỗ hổng này hiện đã được gán mã định danh CVE-2026-50656 với điểm CVSS là 7.8.

Theo mô tả từ phía Microsoft, đây là một lỗi leo thang đặc quyền (elevation of privilege) nằm trong Microsoft Malware Protection Engine. Hãng cho biết: “Chúng tôi đang nỗ lực cung cấp một bản cập nhật bảo mật chất lượng cao để giải quyết triệt để lỗ hổng này.”

Thông tin về RoguePlanet xuất hiện sau khi nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse (hay còn gọi là Nightmare-Eclipse) công bố mã khai thác (exploit). Theo tác giả, đây là một lỗi race condition cho phép kẻ tấn công giành quyền truy cập shell với đặc quyền SYSTEM trên hệ thống mục tiêu. Nhà nghiên cứu lưu ý rằng hiệu quả của exploit có thể thay đổi tùy thuộc vào từng máy tính, nhưng trong một số trường hợp, tỷ lệ thành công đạt mức 100%.

Một chi tiết đáng chú ý là mã khai thác này dường như vẫn hoạt động bất kể tính năng bảo vệ thời gian thực (real-time protection) của Defender có đang bật hay không. Thậm chí, nó có khả năng hoạt động cả trong chế độ passive mode.

Đây không phải là lần đầu tiên Chaotic Eclipse phát hiện lỗ hổng trong Microsoft Defender. Trước đó, nhà nghiên cứu này đã từng công bố các lỗ hổng như BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) và RedSun (CVE-2026-41091), tất cả đều đã được Microsoft xử lý thông qua các bản cập nhật định kỳ.

Hiện tại, người dùng và quản trị viên hệ thống nên theo dõi các thông báo từ Microsoft để cập nhật bản vá ngay khi nó được phát hành chính thức nhằm đảm bảo an toàn cho hạ tầng Windows.

Nguồn tham khảo: The Hacker News