Phát hiện lỗ hổng mới trên Windows, nguy cơ bị chiếm quyền hệ thống

Thông tin được công bố tại sự kiện Black Hat Asia 2026 và nhanh chóng thu hút sự quan tâm của giới công nghệ cũng như cộng đồng an ninh mạng.

Kaspersky vừa phát hiện lỗ hổng PhantomRPC trên cơ chế giao tiếp từ xa (RPC) của Windows. Ảnh minh họa

Theo Kaspersky, PhantomRPC tồn tại trong cơ chế giao tiếp từ xa RPC (Remote Procedure Call) - một thành phần cốt lõi của Windows cho phép các tiến trình và ứng dụng trao đổi dữ liệu, thực thi chức năng với nhau ngay cả khi hoạt động ở các môi trường riêng biệt. Đây được xem là nền tảng cho nhiều công nghệ giao tiếp quan trọng trên Windows.

Điểm nguy hiểm của PhantomRPC là lỗ hổng này không xuất phát từ một lỗi phần mềm cụ thể mà đến từ chính cách thiết kế và vận hành của hệ thống RPC. Điều này khiến việc khắc phục trở nên phức tạp hơn so với các lỗ hổng thông thường.

Tin tặc có thể lợi dụng cơ chế giả mạo (impersonation) để nâng quyền truy cập, từ đó chiếm quyền kiểm soát hệ thống ở cấp cao nhất.

Các chuyên gia bảo mật cho biết đã phân tích ít nhất 5 kịch bản khai thác khác nhau. Trong đó, hacker có thể nâng quyền truy cập từ các dịch vụ nội bộ hoặc các dịch vụ liên quan đến kết nối mạng lên cấp hệ thống, thậm chí kiểm soát hoàn toàn máy chủ.

Do vấn đề nằm ở kiến trúc thiết kế, gần như có vô số cách thức khai thác khác nhau và bất kỳ tiến trình mới nào sử dụng RPC cũng có thể trở thành mục tiêu tấn công.

Ông Haidar Kabibo - chuyên viên bảo mật ứng dụng tại Kaspersky - nhận định rằng phương thức khai thác có thể khác nhau tùy thuộc từng hệ thống, phần mềm cài đặt và các thư viện liên kết động (DLL) tham gia vào quá trình RPC. Điều này khiến PhantomRPC trở thành yếu tố quan trọng trong việc đánh giá rủi ro an ninh mạng tại doanh nghiệp.

Trước nguy cơ trên, Kaspersky khuyến nghị các tổ chức tăng cường giám sát hoạt động RPC bằng cơ chế ETW (Event Tracing for Windows) nhằm phát hiện các kết nối bất thường, đặc biệt là các yêu cầu tới máy chủ không tồn tại hoặc không khả dụng. Việc duy trì các điểm kết nối RPC hợp lệ cũng giúp giảm nguy cơ bị triển khai máy chủ giả mạo.

ANH TÚC