Lỗ hổng bảo mật CVE-2026-50656 trong RoguePlanet
Microsoft đã chính thức thừa nhận một lỗ hổng bảo mật zero-day mới được phát hiện ảnh hưởng đến Microsoft Defender, được gọi là RoguePlanet, và xác nhận rằng bản cập nhật bảo mật hiện đang được phát triển để khắc phục vấn đề này.
Lỗ hổng này được gán mã CVE-2026-50656 và có điểm mức độ nghiêm trọng CVSS là 7.8. Theo Microsoft, lỗ hổng này được phân loại là điểm yếu leo thang đặc quyền trong Công cụ Bảo vệ Phần mềm độc hại của Microsoft được sử dụng bởi Microsoft Defender.
Microsoft cho biết họ đã biết về vấn đề được công khai này, mà các nhà nghiên cứu bảo mật đã đặt tên là RoguePlanet.
Mục lục
Hiểu rõ mối đe dọa đằng sau RoguePlanet
Thông tin này được tiết lộ sau khi lỗ hổng RoguePlanet được công khai khoảng một tuần trước đó. Nhà nghiên cứu phát hiện ra lỗ hổng này mô tả nó là một lỗ hổng điều kiện tranh chấp, cho phép kẻ tấn công truy cập vào một shell lệnh chạy với quyền SYSTEM.
Vì lỗ hổng này dựa trên tình trạng tranh chấp tài nguyên (race condition), tỷ lệ thành công của nó thay đổi giữa các hệ thống. Thử nghiệm cho thấy một số thiết bị có thể bị xâm nhập với tỷ lệ thành công gần như hoàn hảo, trong khi những thiết bị khác lại có khả năng chống lại việc khai thác tốt hơn.
Đáng chú ý, bằng chứng về khả năng hoạt động (Proof-of-Concept - PoC) đã được công bố hoạt động bất kể tính năng bảo vệ thời gian thực của Microsoft Defender được bật hay tắt.
Danh sách các lỗ hổng bảo mật của Defender ngày càng dài thêm
RoguePlanet là lỗ hổng bảo mật thứ tư của Microsoft Defender được cùng một nhóm nghiên cứu công khai. Các phát hiện trước đó bao gồm:
BlueHammer (CVE-2026-33825)
UnDefend (CVE-2026-45498)
RedSun (CVE-2026-41091)
Cả ba lỗ hổng bảo mật đã được Microsoft vá lỗi.
Tác động tiềm tàng của việc khai thác thành công
Nếu một cuộc tấn công lợi dụng RoguePlanet thành công, kẻ tấn công sẽ giành được quyền truy cập hệ thống (shell) với quyền hạn cấp SYSTEM, một trong những cấp độ đặc quyền cao nhất hiện có trên hệ thống Windows. Quyền truy cập này cho phép các tác nhân độc hại:
Thực thi mã tùy ý.
Thực hiện các hành động trái phép trên toàn bộ hệ thống bị ảnh hưởng.
Các đặc quyền được nâng cao sẽ làm tăng đáng kể tiềm năng ảnh hưởng của một cuộc tấn công thành công.
Đã được kiểm thử trên các hệ thống Windows đã được cập nhật đầy đủ.
Kiểm tra bảo mật đã xác nhận rằng lỗ hổng này hoạt động trên cả hệ thống Windows 10 và Windows 11 đã nhận được bản cập nhật Patch Tuesday tháng 6 năm 2026. Điều này cho thấy các bản cài đặt máy tính để bàn đã được cập nhật đầy đủ vẫn dễ bị tổn thương cho đến khi Microsoft phát hành bản vá lỗi chuyên dụng.
Việc khai thác lỗ hổng bảo mật trên Windows Server đòi hỏi một phương pháp khai thác khác.
Ở dạng hiện tại, lỗ hổng này không hoạt động trên môi trường Windows Server vì người dùng thông thường không được phép gắn kết các ảnh ISO, một yêu cầu của kỹ thuật tấn công hiện có.
Tuy nhiên, hạn chế này không nên được hiểu là sự miễn nhiễm. Các nhà nghiên cứu nhấn mạnh rằng các cài đặt Windows Server vẫn bị ảnh hưởng bởi lỗ hổng tiềm ẩn. Việc khai thác thành công chỉ cần được thiết kế lại để phù hợp với các hạn chế của nền tảng.