Nhà nghiên cứu bảo mật ẩn danh với biệt danh Chaotic Eclipse (còn gọi là Nightmare-Eclipse) đã công bố mã khai thác proof-of-concept (PoC) cho một lỗ hổng Zero-Day khác của Microsoft Defender mang tên RoguePlanet.
"Mã khai thác này là một lỗi race condition, vì vậy nó mang tính may rủi," nhà nghiên cứu, người đã đăng tải mã khai thác dưới tài khoản GitHub mới mang tên "MSNightmare", cho biết. "Tôi đã đạt được tỷ lệ thành công 100% trên một số máy, trong khi nó lại gặp khó khăn khi hoạt động trên những máy khác."
Nếu khai thác thành công, kết quả sẽ là một shell với đặc quyền mức SYSTEM, cho phép kẻ tấn công thực thi mã tùy ý hoặc thực hiện các hành động trái phép.
Nhà nghiên cứu cho biết mã khai thác đã được thử nghiệm trên các máy chạy Windows 11 và Windows 10 đã cài đặt bản cập nhật Patch Tuesday tháng 6 năm 2026, nghĩa là lỗ hổng này vẫn hoạt động trên các phiên bản hệ điều hành máy tính để bàn mới nhất.
Tuy nhiên, mã khai thác hiện tại không hoạt động trên các phiên bản Windows Server vì "người dùng tiêu chuẩn không thể mount (gắn) tệp ISO". Chaotic Eclipse nhấn mạnh rằng các bản cài đặt Windows Server cũng dễ bị tổn thương bởi lỗi này và mã khai thác cần được thiết kế lại để có thể hoạt động trên đó.
Mâu thuẫn giữa nhà nghiên cứu và Microsoft
"Việc làm cho bản PoC này hoạt động thực sự đã vắt kiệt tâm trí tôi, nó làm suy giảm nghiêm trọng sức khỏe tâm thần và thể chất của tôi, nhưng cuối cùng vào cuối tháng 5, một bản PoC hoàn chỉnh đã được phát triển," nhà nghiên cứu chia sẻ.
"Những nỗ lực của Microsoft nhằm bảo vệ Defender khỏi các cuộc tấn công path redirection là vô ích. Tôi cũng đang nắm giữ một loạt lỗ hổng memory corruption trong Defender, chưa kể đến các lỗ hổng khác trong nhiều thành phần hệ thống khác."
Nhà nghiên cứu bảo mật Will Dormann, trong một bài đăng chia sẻ trên Mastodon, xác nhận: "Có báo cáo cho rằng nó không đáng tin cậy 100%, nhưng nó đã hoạt động ngay trong lần thử đầu tiên của tôi."
RoguePlanet là lỗ hổng mới nhất trong chuỗi các lỗi được Chaotic Eclipse phát hiện trong những tháng gần đây:
- BlueHammer (CVE-2026-33825)
- UnDefend (CVE-2026-45498)
- RedSun (CVE-2026-41091)
Việc công bố các lỗ hổng này một cách không phối hợp được đánh giá là một nỗ lực trả đũa sau sự đổ vỡ trong giao tiếp giữa nhà nghiên cứu (người chưa công khai danh tính thực) và Microsoft.
Trong các bài đăng có chữ ký mã hóa trên trang Blogger của mình, Chaotic Eclipse bày tỏ sự không hài lòng với cách Microsoft xử lý quy trình tiết lộ lỗ hổng và chỉ trích công ty vì đã thu hồi quyền truy cập vào tài khoản Microsoft Security Response Center (MSRC) của họ. Nhà nghiên cứu cũng cáo buộc Microsoft đã hạ thấp họ, bác bỏ các báo cáo, không trả thưởng cho các lỗ hổng đã xác định và bôi nhọ danh dự của họ.
Cuối tháng trước, Microsoft đã lên án việc công khai lỗ hổng bảo mật, tuyên bố rằng điều này là "không bao giờ chính đáng" và đặt khách hàng vào "rủi ro không đáng có". Đáng chú ý là cả ba lỗ hổng Defender kể trên đều đã bị khai thác trong thực tế.
Cuộc tranh chấp công khai cũng dẫn đến việc các tài khoản GitHub và GitLab của nhà nghiên cứu bị gỡ bỏ. "Microsoft đang cố gắng lạm dụng quyền sở hữu GitHub để chỉ bảo vệ các sản phẩm của mình và sử dụng các mối liên hệ rộng rãi với cơ quan thực thi pháp luật để coi việc xuất bản thông tin về lỗ hổng trong sản phẩm của chính họ là hành vi phạm tội," nhà nghiên cứu bảo mật Kevin Beaumont nhận định.
Phản hồi chính thức từ Microsoft
"Để làm rõ quan điểm của chúng tôi về các vấn đề pháp lý, chúng tôi không có ý định theo đuổi hành động chống lại các cá nhân thực hiện hoặc công bố nghiên cứu bảo mật của họ," Microsoft tuyên bố trong một bài đăng trên X. "Khi một cá nhân vi phạm pháp luật và tham gia vào hoạt động độc hại gây hại thực sự cho khách hàng của chúng tôi, chúng tôi sẽ hợp tác với cơ quan thực thi pháp luật khi thích hợp."
"Chúng tôi cam kết tiếp cận mọi tương tác với sự minh bạch, giao tiếp rõ ràng và chuyên nghiệp. Chúng tôi tiếp tục tin tưởng mạnh mẽ vào Coordinated Vulnerability Disclosure (CVD) như là nền tảng để bảo vệ khách hàng và cải thiện sản phẩm của mình."