Lỗ hổng mang tên Red Sun được cho là tồn tại trong cách Microsoft thiết kế cơ chế xử lý tệp tin nghi ngờ trên hệ thống.
Một phát hiện mới từ nhà nghiên cứu bảo mật Chaotic Eclipse đang khiến cộng đồng công nghệ lo ngại, khi chính phần mềm bảo vệ mặc định của Windows lại có thể bị lợi dụng để phát tán mã độc.
Cơ chế “tự cứu mã độc” gây tranh cãi
Theo phân tích, Red Sun xuất phát từ cách Microsoft Defender xử lý các tệp bị đánh dấu nguy hiểm thông qua hệ thống đám mây. Trong một số điều kiện nhất định, thay vì xóa hoàn toàn, Defender lại có thể tự động khôi phục tệp và ghi đè tệp trở lại vị trí ban đầu
Chính hành vi này đã tạo ra một kẽ hở nghiêm trọng. Tin tặc có thể lợi dụng cơ chế đó để đưa mã độc quay trở lại hệ thống, sau đó ghi đè lên các tệp quan trọng của Windows. Hệ quả là kẻ tấn công có thể leo thang đặc quyền, chiếm quyền kiểm soát thiết bị máy tính mà không cần vượt qua các lớp bảo vệ truyền thống.
Từ công cụ bảo vệ thành “bàn đạp” tấn công
Điểm nguy hiểm của Red Sun nằm ở chỗ nó không tấn công trực tiếp vào hệ thống, mà lợi dụng chính phần mềm bảo mật để thực thi hành vi độc hại. Trong các kịch bản xấu nhất, hacker có thể duy trì sự tồn tại của mã độc ngay cả khi bị phát hiện, tiếp tục ghi đè file hệ thống để chiếm quyền admin và vô hiệu hóa các cơ chế bảo vệ khác
Điều này khiến Defender – vốn là tuyến phòng thủ đầu tiên – vô tình trở thành “trợ thủ” cho các cuộc tấn công.
Không chỉ dừng lại ở vấn đề kỹ thuật, vụ việc còn gây chú ý bởi phản ứng từ phía Microsoft. Theo Chaotic Eclipse, quá trình trao đổi với Trung tâm phản hồi bảo mật của hãng (MSRC) không diễn ra suôn sẻ.
Nhà nghiên cứu này cho rằng Microsoft đã đánh giá thấp mức độ nghiêm trọng của lỗ hổng và có thái độ thiếu hợp tác. Đây cũng không phải lần đầu hãng bị chỉ trích. Trước đó, lỗ hổng BlueHammer từng gây tranh cãi khi bị xem nhẹ, buộc cộng đồng phải tự công bố mã khai thác để cảnh báo.
Hiện tại, cả Red Sun và các lỗ hổng liên quan như UnDefend được cho là đã bắt đầu bị khai thác trong thực tế.
Người dùng Windows đối mặt rủi ro gì với lỗ hổng Red Sun?
Với số lượng hàng tỷ thiết bị sử dụng Windows, bất kỳ lỗ hổng nào trong Defender đều có thể gây ảnh hưởng trên diện rộng.
Với Red Sun, người dùng có thể đối mặt với:
- Nguy cơ bị chiếm quyền điều khiển máy tính
- Rò rỉ dữ liệu cá nhân
- Cài đặt phần mềm độc hại mà không phát hiện
Đáng lo ngại là các cuộc tấn công dạng này thường khó nhận biết, vì chúng diễn ra ngay bên trong hệ thống bảo mật.
Nên làm gì trong thời điểm hiện tại?
Trong khi chờ bản vá chính thức từ các bản cập nhật định kỳ (Patch Tuesday), nhiều chuyên gia khuyến nghị người dùng nên chủ động phòng tránh Red Sun:
- Cập nhật Windows thường xuyên để nhận bản vá mới nhất
- Hạn chế tải và chạy các tệp không rõ nguồn gốc
- Cân nhắc sử dụng phần mềm diệt virus bên thứ ba có cơ chế xử lý mạnh tay hơn
- Theo dõi các cảnh báo bảo mật từ cộng đồng
Sự xuất hiện của Red Sun cho thấy một thực tế: ngay cả những công cụ bảo mật phổ biến nhất cũng có thể trở thành điểm yếu nếu tồn tại sai sót trong thiết kế.
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc phụ thuộc hoàn toàn vào một lớp bảo vệ duy nhất không còn là lựa chọn an toàn. Người dùng cần chủ động hơn trong việc bảo vệ hệ thống, đồng thời các hãng công nghệ cũng phải nhanh chóng thích nghi để không biến “lá chắn” thành “cánh cửa mở” cho tin tặc.
