Lỗ hổng Zero-day chưa có bản vá trong Windows Defender đang bị khai thác tích cực
Nhà nghiên cứu bảo mật ẩn danh "Chaotic Eclipse" / "Nightmare Eclipse" vừa công bố PoC (Proof-of-Concept) cho lỗ hổng leo thang đặc quyền cục bộ (LPE) thứ hai trong Windows Defender, được đặt tên là "RedSun". Lỗ hổng cho phép người dùng có đặc quyền thấp leo thang lên NT AUTHORITY\SYSTEM trên Windows 10, Windows 11 và Windows Server — kể cả các hệ thống đã áp dụng đầy đủ bản vá tháng 4/2026 — bằng cách lạm dụng cơ chế khôi phục file cloud của chính Defender. RedSun là lỗ hổng thứ hai trong chuỗi ba zero-day Defender được công bố liên tiếp trong tháng 4/2026 (cùng với BlueHammer và UnDefend), tất cả đều đã được xác nhận khai thác tích cực trên thực tế bởi Huntress Labs. Tính đến thời điểm viết bài, RedSun chưa có bản vá chính thức từ Microsoft.
Thông tin chi tiết
RedSun không phải lỗ hổng đơn lẻ — nó là một phần trong chuỗi ba zero-day Defender được nhà nghiên cứu tung ra liên tiếp trong vòng 13 ngày, xuất phát từ hành động phản đối công khai cách Microsoft Security Response Center (MSRC) xử lý các báo cáo lỗ hổng. Nhà nghiên cứu tuyên bố đã báo cáo lỗ hổng nhưng bị đối xử tệ; khi biết trước một công bố công khai sắp diễn ra, Microsoft vẫn không hành động kịp thời.
| Thông tin lỗ hổng | BlueHammer | RedSun | UnDefend |
|---|---|---|---|
| Định danh | CVE-2026-33825 (CVSS 7.8) | Chưa có CVE | Chưa có CVE |
| Loại tấn công | Local Privilege Escalation | Local Privilege Escalation | Defender Degradation / DoS |
| Cơ chế khai thác | Logic file remediation (oplock + NTFS junction) | Cloud file rollback (Cloud Files API + oplock + NTFS junction) | Chặn cập nhật signature; vô hiệu hoá Defender khi có bản cập nhật lớn |
| Hệ quả | Leo thang lên SYSTEM | Leo thang lên SYSTEM | Defender hoạt động nhưng lỗi thời và mất hiệu quả |
| Trạng thái bản vá | Đã có bản vá trong Patch Tuesday | Chưa có bản vá | Chưa có bản vá |
| Tình trạng khai thác thực tế | Đang bị khai thác tích cực | Đang bị khai thác tích cực | Đang bị khai thác tích cực |
Ba kỹ thuật này được hiểu rõ nhất khi nhìn như một chuỗi tấn công: BlueHammer hoặc RedSun để leo thang lên SYSTEM, UnDefend để làm suy giảm bảo vệ của Defender theo thời gian — tạo ra môi trường mà kẻ tấn công có thể duy trì persistence trong khi Defender dần mất hiệu quả phát hiện mối đe dọa. Khi BlueHammer bị vá, RedSun trở thành lựa chọn thay thế qua code path khác nhau trong cùng nền tảng Defender, cho thấy điểm yếu kiến trúc sâu hơn chứ không phải lỗi đơn lẻ.
Windows Defender chạy liên tục với đặc quyền NT AUTHORITY\SYSTEM — mức cao nhất trong hệ thống Windows — trên hầu hết mọi máy tính Windows. Đây chính là điểm tạo ra nghịch lý nguy hiểm của RedSun: công cụ được thiết kế để bảo vệ hệ thống lại trở thành vectơ tấn công, khi logic xử lý của nó bị lợi dụng để ghi file hệ thống với đặc quyền tối cao mà không cần bất kỳ tương tác nào từ quản trị viên.
Nguyên nhân gốc rễ nằm ở cách Defender xử lý các file mang cloud tag — một thuộc tính của Windows Cloud Files API (cldapi.dll) dùng để đánh dấu file là cloud placeholder, ví dụ như file OneDrive Files On-Demand chưa được tải xuống đầy đủ. Khi Defender phát hiện một file như vậy là độc hại, thay vì cách ly hoặc xoá, nó cố gắng khôi phục file về vị trí gốc trên đĩa. Thao tác khôi phục này chạy với đặc quyền SYSTEM đầy đủ và không xác thực xem đường dẫn đích có bị giả mạo hay không — đây là điểm kẻ tấn công khai thác.
Chuỗi khai thác RedSun diễn ra theo 6 bước:
Bước 1: Kẻ tấn công tạo một file được crafted đặc biệt để kích hoạt phát hiện của Windows Defender — thường nhúng chuỗi EICAR (file kiểm tra antivirus tiêu chuẩn).
Bước 2: File bị phát hiện được thay thế bằng một cloud placeholder thông qua Windows Cloud Files API (
cldapi.dll), biến nó thành file "cloud-tagged" trong mắt Defender.Bước 3: Kẻ tấn công thiết lập một oplock (opportunistic lock) trên file hoặc thư mục đích để kiểm soát thời điểm Defender tiến hành thao tác ghi — tạm dừng quá trình ở đúng thời điểm nhạy cảm.
Bước 4: Trong khi oplock đang giữ, kẻ tấn công tạo một NTFS directory junction (reparse point) để chuyển hướng đường dẫn file gốc sang thư mục hệ thống được bảo vệ — thường là
C:\Windows\System32\TieringEngineService.exeBước 5: Khi oplock được giải phóng, Defender tiến hành khôi phục file về vị trí gốc với đặc quyền
NT AUTHORITY\SYSTEM— nhưng đường dẫn đó đã bị chuyển hướng. Defender ghi đè file hệ thống hợp lệ bằng payload của kẻ tấn công.Bước 6: Khi dịch vụ Cloud Files Infrastructure thực thi file nhị phân vừa bị ghi đè, kẻ tấn công đạt được SYSTEM-level code execution — toàn quyền kiểm soát hệ thống.
Kết quả file TieringEngineService.exe trong System32 bị ghi đè bởi payload của kẻ tấn công. Khi dịch vụ Cloud Files Infrastructure thực thi file này, đoạn mã độc chạy với đặc quyền NT AUTHORITY\SYSTEM, cấp toàn quyền kiểm soát hệ thống. PoC được xác nhận có tỉ lệ thành công gần 100% trên các hệ thống đã vá đầy đủ bản vá tháng 4/2026.
Về khả năng evasion, ban đầu một số vendor phát hiện PoC trên VirusTotal vì file thực thi nhúng chuỗi EICAR. Tuy nhiên nhà nghiên cứu Will Dormann (Tharros) đã chứng minh chỉ cần mã hoá chuỗi EICAR trong binary là đủ để giảm đáng kể tỉ lệ phát hiện — cho thấy bypass static analysis của exploit là tương đối dễ dàng, và các biến thể obfuscated đang lưu hành rộng rãi.
Huntress Labs đã xác nhận quan sát được cả ba kỹ thuật — BlueHammer, RedSun và UnDefend — được sử dụng trong cùng một vụ tấn công thực tế vào ngày 16/04/2026. Kẻ tấn công xâm nhập ban đầu qua tài khoản SSL VPN bị đánh cắp, thả các file exploit vào thư mục Pictures và Downloads (đổi tên để tránh nghi ngờ), sau đó thực hiện trinh sát thủ công bằng các lệnh whoami /priv, cmdkey /list, net group — dấu hiệu điển hình của tác nhân tấn công hands-on-keyboard có kinh nghiệm. Huntress đã cô lập tổ chức bị ảnh hưởng để ngăn chặn hậu khai thác lan rộng.
Bối cảnh rủi ro, phạm vi hệ thống bị ảnh hưởng là cực kỳ rộng, bao gồm: Windows 10, Windows 11 và Windows Server 2016 đến 2025 khi Defender đang bật, tức là mặc định trên gần như toàn bộ fleet Windows doanh nghiệp. Bất kỳ hệ thống nào có cldapi.dll hiện diện đều là mục tiêu tiềm năng. Điều này đồng nghĩa với việc một tài khoản người dùng thông thường bị xâm phạm — dù chỉ qua phishing hay credential stuffing — có thể chuyển thành toàn quyền SYSTEM trong vài giây, không cần kernel exploit hay tương tác quản trị viên.
IOC
Phân loại | Mô tả |
File đích bị ghi đè | C:\Windows\System32\TieringEngineService.exe (hoặc các binary System32 được bảo vệ khác) |
Thư mục thả payload | Thư mục writable của người dùng: %USERPROFILE%\Pictures, %USERPROFILE%\Downloads, %TEMP% |
Tên file exploit | File thực thi được đổi tên tuỳ ý để tránh nghi ngờ (không có tên cố định) |
Chuỗi nhúng trong exploit | Chuỗi EICAR (hoặc biến thể đã mã hoá / obfuscated) bên trong file thực thi exploit |
Chuỗi lệnh trinh sát | whoami /priv, cmdkey /list, net group — thực thi ngay trước khi chạy exploit |
Thành phần hệ thống liên quan | cldapi.dll (Windows Cloud Files API), Cloud Files Mini Filter service |
Véc-tơ xâm nhập ban đầu (quan sát) | Tài khoản SSL VPN bị đánh cắp |
GitHub PoC | https://github.com/Nightmare-Eclipse/RedSun |
Khuyến nghị & Khắc phục
Quản trị viên và người dùng cần lưu ý, hiện vẫn chưa có bản vá chính thức cho RedSun và UnDefend. Microsoft xác nhận đang điều tra và có thể phát hành bản vá out-of-band trước Patch Tuesday tiếp theo. Đội ngũ FPT Threat Intelligence khuyến nghị áp dụng ngay các biện pháp sau:
Áp dụng ngay toàn bộ bản vá Patch Tuesday tháng 4/2026 để vá BlueHammer (CVE-2026-33825) - lỗ hổng này đã có bản vá và đang bị khai thác tích cực.
Theo dõi sát các thông báo bảo mật của Microsoft (MSRC) để nhận bản vá out-of-band cho RedSun và UnDefend ngay khi được phát hành.
Vô hiệu hoá Cloud Files Mini Filter service như biện pháp workaround tạm thời hiệu quả nhất hiện có: điều này ngăn Windows Cloud Files platform nạp và loại bỏ bề mặt tấn công của RedSun. Lưu ý biện pháp này ảnh hưởng đến các tích hợp cloud file như OneDrive Files On-Demand.
Triển khai giải pháp EDR bổ sung có khả năng phát hiện hành vi bypass Defender — không phụ thuộc hoàn toàn vào Defender trong giai đoạn chưa có bản vá.
Ngăn chặn thực thi file từ các thư mục writable của người dùng: Pictures, Downloads, Temp — đây là các thư mục thả payload đã quan sát trong tấn công thực tế.
Bật và cấu hình Microsoft Defender Tamper Protection; triển khai File Integrity Monitoring (FIM) trên
C:\Windows\System32\,đặc biệt chú ý đến TieringEngineService.exe và các binary dịch vụ quan trọng.Audit Event Log để phát hiện tiến trình SYSTEM spawn từ đường dẫn bất thường và sự kiện ghi đè file hệ thống bất thường sau hoạt động của Defender liên quan đến cloud-tagged file.
Coi mọi sự kiện xâm phạm tài khoản SSL VPN / remote access là sự cố ưu tiên cao: với RedSun, một tài khoản thông thường bị chiếm dụng có thể leo thang lên SYSTEM trong vài giây
