Nội dung bài viết
Mối thù giữa NightmareEclipse và Microsoft không có dấu hiệu sẽ sớm được giải quyết.
Một nhà nghiên cứu đã phát hiện ra lỗ hổng này cho biết, một bản vá được Microsoft phát hành hôm thứ Tư nhằm khắc phục lỗ hổng zero-day trong công cụ bảo mật Defender của họ có thể khiến các máy Windows ghi các tệp đủ lớn để tiêu tốn hoàn toàn dung lượng ổ đĩa trống.
RoguePlanet, có tên CVE-2026-50656, được công chúng chú ý vào tháng 6 khi NightmareEclipse, bút danh được một nhà nghiên cứu sử dụng, tiết lộ nó cùng với mã để khai thác nó.
Lỗ hổng này cho phép kẻ tấn công từ xa giành quyền kiểm soát quản trị đối với máy Windows 10 và Windows 11, ngay cả khi tính năng bảo vệ thời gian thực đã bị tắt.
Trong vài tháng qua, nhà nghiên cứu ẩn danh này đã công bố một số lỗi zero-day khác khiến Microsoft phải nỗ lực phát triển các bản vá lỗi.
Microsoft cho biết hôm thứ Tư rằng họ đã vá RoguePlanet bằng bản cập nhật cho Công cụ bảo vệ phần mềm độc hại của Microsoft, được sử dụng bởi ứng dụng chống vi-rút Defender. Bản sửa lỗi sẽ tự động được tải xuống và cài đặt mà người dùng không cần phải thực hiện bất kỳ hành động nào.
Bản cập nhật hôm thứ Tư cũng bao gồm “các bản cập nhật chuyên sâu về phòng thủ để giúp cải thiện các tính năng liên quan đến bảo mật”.
Trong một bài đăng trên Thứ năm sday, NightmareEclipse cho biết các bổ sung về phòng thủ chuyên sâu tạo ra hành vi có thể cho phép kẻ tấn công sử dụng hết dung lượng trống trên ổ cứng bằng cách ghi lượng lớn dữ liệu vào đó.
Các biện pháp giảm thiểu mới được giới thiệu đã tạo ra sự cố trong mpengine.dll, trình điều khiển được liên kết với Công cụ bảo vệ phần mềm độc hại của Microsoft, trong một số trường hợp khiến nó rò rỉ 8 byte dữ liệu khi cố gắng mở tệp.
Chức năng mới trong SpyNet, một dịch vụ đám mây cho phép Microsoft Security Essentials hoặc Forefront Endpoint Protection gửi báo cáo về phần mềm và chương trình đáng ngờ tới Microsoft, cũng đóng một vai trò trong hành vi ghi tệp hàng loạt tiềm ẩn.
Bộ bảo vệ thường đặt các giới hạn cứng về dung lượng tệp có thể được ghi vào đĩa khi quét và cách ly máy. Nhà nghiên cứu viết: “Việc triển khai này có ý nghĩa [sic] vì việc cách ly một tệp lớn sẽ khiến Defender cạn kiệt hoàn toàn dung lượng ổ đĩa sẵn có”.
“Tôi đã tìm thấy một ngoại lệ nhỏ cho quy tắc này, rõ ràng là các chức năng spynet trong mpengine.dll thực sự muốn [sic] giữ một bản sao cục bộ của tệp Zone.Identifier ADS và cho dù tệp này lớn đến đâu, Windows Defender vẫn sẽ lưu nó vào bộ nhớ đệm cục bộ.” Một khu vực.
Mã định danh là một tệp siêu dữ liệu ẩn, đôi khi được gọi là luồng dữ liệu thay thế, mà Windows tự động liên kết với các tệp được tải xuống từ Internet hoặc nhận được qua email hoặc các nguồn bên ngoài khác. Luồng dữ liệu cho phép Windows đánh dấu nguồn gốc của tệp và vùng bảo mật mà nó sẽ nhận.
NightmareEclipse cho biết một tác nhân độc hại có thể kích hoạt hành vi này bằng cách sử dụng Server Message Block, một giao thức liên lạc để chia sẻ tệp qua mạng Windows cục bộ.
Nhà nghiên cứu giải thích: Bạn sẽ cần một thiết lập đặc biệt để khai thác điều này, cần có một máy chủ SMB tùy chỉnh sẽ xử lý các yêu cầu từ Windows Defender, máy chủ SMB sẽ phân phát một tệp độc hại (một ví dụ điển hình là tệp thực thi mimikatz) theo sau là một tệp ADS lớn (một ví dụ điển hình là mimikatz.exe:Zone.Identifier), trong quá trình trả lời các yêu cầu đọc, tại một thời điểm nào đó, máy chủ SMB sẽ không bao giờ phản hồi yêu cầu đọc mà vẫn duy trì kết nối.
Điều này sẽ khiến Defender bị treo và khóa các tệp vi phạm chứa toàn bộ dung lượng ổ đĩa. Rõ ràng điều này sẽ không làm hỏng máy nhưng windows sẽ không hoạt động bình thường khi ổ đĩa đầy, nhiều ứng dụng và dịch vụ bị lỗi ngẫu nhiên.
vi mô soft đã không trả lời ngay các câu hỏi hỏi liệu nó có thể xác nhận hành vi được mô tả có tồn tại hay không.
NightmareEclipse và Microsoft đã vướng vào một cuộc tranh chấp nảy lửa ít nhất là từ tháng 5, khi nhà nghiên cứu cho biết Microsoft đã âm thầm vá một lỗ hổng mà nhà nghiên cứu đã báo cáo riêng.
Trong những tuần tiếp theo, nhà nghiên cứu này đã công bố thông tin chi tiết và mã khai thác của một số lỗ hổng trước khi Microsoft có cơ hội vá chúng.
Ngược lại, Microsoft đã công khai chỉ trích nhà nghiên cứu vì “không có trách nhiệm” tiết lộ các lỗ hổng và đưa ra ám chỉ che đậy về khả năng theo đuổi hành động pháp lý. Sau phản ứng dữ dội của công chúng, Microsoft đã nhượng bộ và tuyên bố sẽ không có hành động pháp lý nào như vậy xảy ra.
Cuộc tấn công hôm thứ Năm cho thấy mối thù vẫn chưa được giải quyết. Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.