Hai lỗ hổng zero‑day trong Microsoft Defender bị khai thác ngoài thực tế: điều gì đang xảy ra?

• symbolic link
• junction
• reparse point

Nếu quá trình đó chạy với quyền cao, kẻ tấn công có thể lợi dụng để thao túng thao tác của Defender và nâng quyền lên cấp SYSTEM — mức quyền cao nhất trong Windows.

Thông tin chính về lỗ hổng:

• Loại lỗ hổng: xử lý liên kết tệp không đúng (link‑following)
• Tác động: nâng quyền cục bộ lên SYSTEM
• Điểm CVSS v3.1: 7.8 – mức High
• Điều kiện khai thác: yêu cầu người dùng cục bộ đã đăng nhập chứ không phải tấn công từ xa.

Trong nhiều cuộc tấn công thực tế, lỗ hổng kiểu này thường được dùng sau khi kẻ tấn công đã có foothold ban đầu để leo thang quyền kiểm soát toàn bộ hệ thống.

CVE‑2026‑45498 — Lỗ hổng từ chối dịch vụ trong Defender

Lỗ hổng thứ hai, CVE‑2026‑45498, cho phép kẻ tấn công gây từ chối dịch vụ (DoS) đối với Microsoft Defender.

Tài liệu kỹ thuật công khai hiện chưa mô tả chi tiết cơ chế khai thác, nhưng việc khai thác thành công có thể dẫn đến:

• làm crash các thành phần của Defender
• làm gián đoạn quá trình quét malware
• tạm thời vô hiệu hóa quy trình bảo vệ

Vì Defender là lớp bảo vệ endpoint thời gian thực của Windows, việc làm gián đoạn dịch vụ có thể tạo ra khoảng trống để malware hoạt động mà không bị phát hiện.

Bằng chứng cho thấy lỗ hổng đang bị khai thác

Microsoft xác nhận cả hai lỗ hổng đã bị khai thác ngoài thực tế trước khi bản vá được phát hành.

Một số dấu hiệu cho thấy mức độ nghiêm trọng:

• Hai CVE được CISA đưa vào danh mục KEV, vốn chỉ áp dụng khi có bằng chứng khai thác.
• Các báo cáo bảo mật cho biết Microsoft đã xác nhận hoạt động khai thác nhắm vào Defender.
• Các nền tảng theo dõi lỗ hổng ghi nhận trạng thái “Actively Exploited”.

Hiện tại chưa có mã khai thác công khai hoặc danh sách chỉ dấu tấn công (IOC) chi tiết được phát hành rộng rãi.

Hệ thống bị ảnh hưởng

Các lỗ hổng này liên quan trực tiếp đến Microsoft Defender và Malware Protection Engine, vì vậy phạm vi ảnh hưởng phụ thuộc vào phiên bản Defender, không chỉ phiên bản Windows.

Các môi trường có thể bị ảnh hưởng gồm:

• Windows 11 (bao gồm các bản phát hành gần đây)
• Windows Server triển khai Defender
• endpoint doanh nghiệp dùng Microsoft Malware Protection Engine

Theo advisory, các phiên bản dễ bị ảnh hưởng bao gồm:

• Malware Protection Engine trước 1.1.26040.8
• Defender platform trước 4.18.26040.7

Một điểm quan trọng: Defender có cơ chế cập nhật riêng nên chỉ cập nhật Windows OS không đảm bảo rằng hệ thống đã được vá.

Có liên quan đến chiến dịch “Nightmare‑Eclipse” không?

Một số nhà nghiên cứu bảo mật gần đây đã đề cập đến hoạt động của một tác nhân có biệt danh Nightmare‑Eclipse (Chaotic Eclipse), người đã công bố nhiều khai thác zero‑day nhắm vào Windows và Defender trong năm 2026.

Các nghiên cứu mô tả đây là chuỗi công bố lỗ hổng và mã khai thác liên tiếp nhắm vào các công cụ bảo mật của Microsoft.

Tuy nhiên, chưa có bằng chứng xác nhận trực tiếp rằng CVE‑2026‑41091 hoặc CVE‑2026‑45498 là một phần của chiến dịch đó. Các báo cáo hiện tại chỉ cho thấy chúng xuất hiện trong bối cảnh rộng hơn của các lỗ hổng liên quan Defender.

Các biện pháp giảm thiểu và phòng thủ

Do đã có khai thác ngoài thực tế, các tổ chức nên coi đây là bản vá ưu tiên cao.

Các bước khuyến nghị:

• Cài đặt bản cập nhật Microsoft Defender mới nhất phát hành ngày 20/05/2026.
• Kiểm tra phiên bản Defender engine và platform trên từng endpoint.
• Ưu tiên cập nhật cho:
  • máy chủ
  • hệ thống nhiều người dùng
  • môi trường VDI
  • máy trạm của developer
• Giám sát hệ thống để phát hiện Defender crash hoặc khởi động lại bất thường.
• Kiểm tra các thư mục có quyền ghi của người dùng để phát hiện symbolic link hoặc reparse point đáng ngờ.

Nếu chưa thể vá ngay, nên:

• hạn chế quyền truy cập cục bộ
• giảm quyền admin
• giám sát trạng thái dịch vụ Defender chặt chẽ

Vì sao lỗ hổng trong Defender đặc biệt nguy hiểm

Các nền tảng bảo vệ endpoint như Defender thường chạy với quyền cao và tích hợp sâu vào Windows. Khi một lỗ hổng xuất hiện trong chính lớp bảo vệ này, kẻ tấn công có thể:

• nâng quyền kiểm soát hệ thống
• vô hiệu hóa bảo vệ
• ẩn hoạt động sau xâm nhập

Bản cập nhật khẩn ngày 20/05 là lời nhắc rằng ngay cả công cụ bảo mật cũng có thể trở thành bề mặt tấn công nếu có lỗi trong cách xử lý tệp hoặc quyền hệ thống.

Với các tổ chức và quản trị viên hệ thống, thông điệp rất rõ ràng: cập nhật Defender engine và platform càng sớm càng tốt trên toàn bộ hệ thống Windows.