lỗ hổng CVE mới trong Microsoft Defender Antimalware Platform đã được Microsoft phát hành bản vá trong Patch Tuesday tháng 4/2026. Vấn đề được theo dõi với mã CVE-2026-33825, mức độ nghiêm trọng Important, và có thể dẫn đến elevation of privilege trên hệ thống bị ảnh hưởng.
CVE-2026-33825 trong Microsoft Defender Antimalware Platform
Theo công bố ngày 14/04/2026, lỗ hổng CVE này cho phép kẻ tấn công vượt qua quyền hạn tiêu chuẩn để giành SYSTEM privileges trên máy nạn nhân. Mức điểm CVSS 3.1 do Microsoft công bố là 7.8.
Tham chiếu chính thức: Microsoft Security Response Center – CVE-2026-33825
Phân tích kỹ thuật của lỗ hổng CVE
Nguyên nhân cốt lõi là insufficient access-control granularity theo CWE-1220 trong Microsoft Defender Antimalware Platform. Nền tảng này bao gồm các thành phần user-mode như MsMpEng.exe và các kernel-mode drivers dùng để bảo vệ thiết bị Windows.
Do điểm yếu kiểm soát truy cập, một tác nhân đã có local access hợp lệ có thể khai thác lỗ hổng CVE để nâng quyền lên mức cao nhất. Đây là rủi ro an toàn thông tin đáng chú ý vì không yêu cầu chiếm quyền từ xa ngay từ đầu.
Tác động khi khai thác thành công
- Tắt các công cụ bảo mật trên máy mục tiêu.
- Cài đặt phần mềm độc hại bền vững.
- Truy cập dữ liệu nhạy cảm.
- Tạo tài khoản mới với toàn quyền quản trị.
- Chiếm quyền điều khiển ở mức SYSTEM.
Trạng thái khai thác và mức độ rủi ro
Microsoft cho biết lỗ hổng CVE này chưa bị khai thác trong thực tế tại thời điểm công bố. Tuy nhiên, hãng đánh giá khả năng khai thác là More Likely, tức các nhóm tấn công có thể sớm phát triển exploit hoạt động.
Đây là một zero-day vulnerability được công bố cùng bản vá, nên việc theo dõi cảnh báo CVE và áp dụng update vá lỗi sớm là cần thiết để giảm nguy cơ bảo mật.
Ảnh hưởng trên hệ thống và cảnh báo quét lỗ hổng CVE
Microsoft lưu ý rằng một số công cụ quét lỗ hổng trong doanh nghiệp có thể gắn cờ các máy đã tắt Defender. Lý do là file nhị phân liên quan vẫn còn trên ổ đĩa, dù hệ thống không ở trạng thái có thể khai thác.
Điều này có thể tạo ra cảnh báo sai trong quá trình phát hiện xâm nhập hoặc đánh giá rủi ro bảo mật. Dù vậy, Microsoft vẫn khuyến nghị cập nhật để đảm bảo trạng thái vá đầy đủ.
Phiên bản bị ảnh hưởng và bản vá bảo mật
lỗ hổng CVE ảnh hưởng đến các phiên bản nền tảng đến 4.18.26020.6. Bản phát hành đã vá hoàn toàn là 4.18.26030.3011.
Trong phần lớn môi trường doanh nghiệp và máy cá nhân, cấu hình mặc định sẽ tự động tải và cài đặt các bản cập nhật quan trọng này. Tuy vậy, quản trị viên vẫn nên kiểm tra thủ công để xác nhận hệ thống đã nhận bản vá bảo mật.
Lệnh kiểm tra phiên bản
Microsoft đề xuất kiểm tra phiên bản nền tảng hiện tại trên máy trạm và máy chủ để bảo đảm đã nhận bản cập nhật mới nhất.
Get-MpComputerStatus | Select-Object AMProductVersion, AMEngineVersion, AntispywareSignatureVersionNếu môi trường sử dụng công cụ phân phối phần mềm tập trung, quản trị viên cần rà soát quy trình triển khai để chắc chắn Windows Defender Antimalware Platform được cập nhật đồng bộ trên toàn bộ hệ thống.
IOC và chỉ dấu quan sát
Nội dung công bố hiện không cung cấp IOC theo dạng hash, domain, IP hay file path của mã khai thác. Tuy nhiên, các chỉ dấu vận hành đáng chú ý gồm:
- CVE-2026-33825
- Microsoft Defender Antimalware Platform
- MsMpEng.exe
- Version affected: 4.18.26020.6 và thấp hơn
- Patched version: 4.18.26030.3011
Khuyến nghị xử lý lỗ hổng CVE
Để giảm thiểu mối đe dọa từ lỗ hổng CVE này, hệ thống cần được cập nhật lên phiên bản đã vá và xác minh trạng thái triển khai trên từng endpoint. Các công cụ giám sát nên theo dõi dấu hiệu bất thường liên quan đến việc nâng quyền cục bộ, vô hiệu hóa lớp bảo vệ hoặc tạo tài khoản quản trị trái phép.
0 Nhận xét