RoguePlanet được công bố bởi nhà nghiên cứu bảo mật có biệt danh Chaotic Eclipse (hay còn gọi là Nightmare-Eclipse), người từng nhiều lần công khai các lỗ hổng Windows và Defender trong thời gian gần đây. Theo phân tích kỹ thuật, RoguePlanet khai thác một race condition bên trong thành phần Microsoft Malware Protection Engine của Defender. Khi khai thác thành công, mã độc hoặc kẻ tấn công có thể mở một tiến trình với quyền SYSTEM trên cả những hệ thống Windows 10 và Windows 11 đã được cập nhật đầy đủ các bản vá mới nhất.

Microsoft cho biết họ đã ghi nhận lỗ hổng này và đang chuẩn bị một bản cập nhật bảo mật chính thức nhằm xử lý triệt để vấn đề.​

Cơ chế tấn công hoạt động như thế nào?​

Theo các nhà nghiên cứu, RoguePlanet không phải là lỗ hổng thực thi mã từ xa mà thuộc nhóm Local Privilege Escalation. Điều này có nghĩa là kẻ tấn công cần có khả năng chạy mã trên máy nạn nhân trước, chẳng hạn thông qua:​

• Mã độc đã xâm nhập vào hệ thống.​
• Tệp đính kèm độc hại được người dùng mở.​
• Tài khoản người dùng bị chiếm quyền.​
• Một lỗ hổng khác được khai thác trước đó.​

Sau khi có được quyền truy cập ban đầu, RoguePlanet có thể được sử dụng để nâng quyền từ tài khoản người dùng thông thường lên SYSTEM, từ đó kiểm soát hoàn toàn máy tính.

Lỗ hổng liên quan đến quá trình xử lý giữa cơ chế gắn kết tập tin ISO và hệ thống Volume Shadow Copy của Windows Defender. Do khai thác dựa trên race condition nên tỷ lệ thành công có thể khác nhau giữa các môi trường, nhưng nhiều chuyên gia độc lập đã xác nhận kỹ thuật này hoàn toàn khả thi.​

Điều gì khiến RoguePlanet đáng lo ngại?​

Điểm đáng chú ý là RoguePlanet được công bố chỉ vài giờ sau khi Microsoft phát hành bản cập nhật Patch Tuesday tháng 6/2026. Nhà nghiên cứu tuyên bố kỹ thuật này vẫn hoạt động trên các hệ thống đã cài đặt đầy đủ các bản vá mới nhất.

Nếu bị lợi dụng trong thực tế, kẻ tấn công có thể:​

• Chiếm toàn quyền điều khiển máy tính.​
• Cài đặt ransomware hoặc backdoor.​
• Đánh cắp dữ liệu nhạy cảm.​
• Vô hiệu hóa các biện pháp bảo vệ bảo mật.​
• Duy trì quyền truy cập lâu dài vào hệ thống.​

Đối với doanh nghiệp, việc một mã độc ban đầu có thể nhanh chóng nâng lên quyền SYSTEM thường là bước đệm để mở rộng tấn công sang các hệ thống khác trong mạng nội bộ.​

Microsoft phản ứng ra sao?​

Trong thông báo chính thức, Microsoft xác nhận đang phát triển một bản vá "chất lượng cao" cho CVE-2026-50656. Tuy nhiên tại thời điểm hiện tại, bản vá hoàn chỉnh vẫn chưa được phát hành.

Theo một số phân tích độc lập, Microsoft từng âm thầm gia cố một số thành phần bên trong Defender vào tháng 5/2026 nhằm giảm thiểu các kỹ thuật tương tự, nhưng RoguePlanet đã được điều chỉnh để vượt qua các biện pháp bảo vệ đó.​

Người dùng và doanh nghiệp cần làm gì?​

Trong khi chờ bản vá chính thức từ Microsoft, các chuyên gia khuyến nghị:​

• Theo dõi và cài đặt ngay các bản cập nhật Defender khi được phát hành.​
• Hạn chế quyền người dùng thông thường trên máy trạm.​
• Triển khai cơ chế Application Allowlisting để ngăn mã không được phép thực thi.​
• Tăng cường giám sát các hành vi leo thang đặc quyền bất thường.​
• Rà soát các dấu hiệu mã độc hoặc công cụ hậu khai thác trên hệ thống Windows.​

Việc Microsoft chính thức xác nhận CVE-2026-50656 cho thấy RoguePlanet không còn là một nghiên cứu lý thuyết mà đã được đánh giá là một lỗ hổng thực tế cần được xử lý. Dù hiện chưa có bằng chứng về việc bị khai thác rộng rãi ngoài thực tế, sự xuất hiện của mã khai thác PoC công khai đồng nghĩa với việc nguy cơ bị các nhóm tấn công mạng lợi dụng sẽ tăng lên đáng kể trong thời gian tới. Đối với các tổ chức đang sử dụng Windows và Microsoft Defender, đây là thời điểm cần tăng cường giám sát hệ thống và chuẩn bị triển khai bản vá ngay khi Microsoft phát hành chính thức.​

Nguồn: https://whitehat.vn/threads/rogueplanet-lo-hong-defender-moi-cho-phep-chiem-toan-quyen-may-tinh-windows.19670/