Phát hiện lỗ hổng mới cho phép chiếm quyền hệ thống Windows

2 giờ trướcBài gốc

Ngày 6/5, Kaspersky công bố phát hiện lỗ hổng PhantomRPC thuộc cơ chế giao tiếp từ xa (Remote Procedure Call - RPC) trên Windows. Kết quả nghiên cứu được giới thiệu tại sự kiện Black Hat Asia 2026.

Kaspersky vừa phát hiện lỗ hổng PhantomRPC trên cơ chế giao tiếp từ xa (RPC) của Windows. Ảnh minh họa

Theo các chuyên gia bảo mật, PhantomRPC không xuất phát từ một lỗi phần mềm cụ thể mà đến từ cách thiết kế và vận hành của hệ thống RPC trên Windows. Điều này cho phép tin tặc lợi dụng cơ chế giả mạo (impersonation) để nâng quyền truy cập và chiếm quyền điều khiển hệ thống.

Kaspersky cho biết đã phân tích 5 kịch bản khai thác khác nhau. Trong đó, kẻ tấn công có thể nâng quyền từ các dịch vụ nội bộ hoặc dịch vụ liên quan kết nối mạng lên cấp cao hơn, thậm chí giành quyền kiểm soát toàn bộ hệ thống máy chủ.

Theo hãng bảo mật này, do vấn đề nằm ở đặc điểm thiết kế nên gần như có vô số cách thức khai thác khác nhau. Bất kỳ tiến trình hoặc dịch vụ mới nào sử dụng RPC đều có thể trở thành điểm tấn công tiềm năng.

Ông Haidar Kabibo, chuyên viên bảo mật ứng dụng tại Kaspersky, cho biết cách thức khai thác có thể thay đổi tùy từng hệ thống, phụ thuộc vào phần mềm cài đặt, các thư viện liên kết động (DLL) tham gia vào quá trình RPC cũng như sự tồn tại của các máy chủ RPC tương ứng.

“Điều này khiến PhantomRPC trở thành yếu tố quan trọng trong quá trình doanh nghiệp đánh giá rủi ro và triển khai biện pháp ứng phó”, ông Kabibo nhận định.

Theo Kaspersky, RPC là một trong những thành phần cốt lõi của cơ chế giao tiếp giữa các tiến trình (IPC) trên Windows, cho phép các ứng dụng trao đổi dữ liệu và thực thi chức năng lẫn nhau, kể cả trong các môi trường riêng biệt.

Để giảm nguy cơ bị khai thác, Kaspersky khuyến nghị các tổ chức triển khai giám sát dựa trên ETW nhằm phát hiện bất thường trong hoạt động RPC, đặc biệt với các yêu cầu kết nối tới máy chủ không tồn tại hoặc không khả dụng.

Hãng bảo mật cho rằng, việc duy trì các điểm kết nối RPC hợp lệ luôn sẵn sàng có thể giúp thu hẹp bề mặt tấn công và hạn chế khả năng tin tặc triển khai máy chủ giả mạo.

Ngoài ra, Kaspersky cũng khuyến nghị hạn chế cấp quyền SeImpersonatePrivilege - quyền cho phép tiến trình giả mạo danh tính. Quyền này chỉ nên áp dụng cho các tiến trình thực sự cần thiết vì việc cấp cho ứng dụng tùy chỉnh hoặc bên thứ ba có thể làm gia tăng rủi ro bảo mật.

Toàn bộ báo cáo nghiên cứu và các bản thử nghiệm liên quan đã được Kaspersky công bố trên Securelist và kho dữ liệu nghiên cứu của hãng.

Hải Yên/Báo Tin tức và Dân tộc

Nguồn Tin Tức TTXVN : https://baotintuc.vn/khoa-hoc-cong-nghe/phat-hien-lo-hong-moi-cho-phep-chiem-quyen-he-thong-windows-20260506172946214.htm