Bạn có tin rằng kể cả khi đã cập nhật Windows mới nhất, máy tính của bạn vẫn có thể bị hacker chiếm quyền Administrator hoàn toàn chỉ trong vài phút? Một nhà nghiên cứu bảo mật vừa công bố proof-of-concept (mã chứng minh khái niệm) cho lỗ hổng zero-day Windows mang tên "MiniPlasma" - cho phép kẻ tấn công leo thang đặc quyền lên mức SYSTEM trên các hệ thống đã được vá đầy đủ. Điều đáng lo ngại nhất là Microsoft chưa có bản vá nào cho lỗ hổng này, khiến hàng triệu người dùng Windows trở thành mục tiêu dễ dàng.

Khi hacker "lên đời" từ user thường thành quản trị viên

MiniPlasma không phải là lỗ hổng thông thường mà thuộc loại privilege escalation (leo thang đặc quyền) - một trong những kiểu tấn công nguy hiểm nhất trong an ninh mạng. Cụ thể, sau khi kẻ tấn công đã có được quyền truy cập ban đầu vào máy tính (thông qua phishing, malware hoặc các phương pháp khác), chúng có thể sử dụng MiniPlasma để nâng cấp quyền hạn từ user thường lên SYSTEM - mức quyền cao nhất trong Windows. Điều này giống như việc một kẻ trộm đã vào được nhà, giờ còn tìm được chìa khóa két sắt chứa toàn bộ tài sản quý giá.

Theo thông tin từ nhà nghiên cứu, lỗ hổng này hoạt động trên tất cả phiên bản Windows được hỗ trợ, từ Windows 10 đến Windows 11, kể cả các máy chủ Windows Server. Chúng tôi đánh giá đây là một phát hiện cực kỳ nghiêm trọng bởi việc công khai mã khai thác đồng nghĩa với việc bất kỳ ai có kiến thức kỹ thuật cơ bản cũng có thể sử dụng để tấn công. Điều này trái ngược hoàn toàn với nguyên tắc responsible disclosure (công bố có trách nhiệm) mà cộng đồng bảo mật thường tuân thủ.

Cuộc chiến không cân sức giữa hacker và Microsoft

Zero-day là thuật ngữ chỉ những lỗ hổng bảo mật chưa được nhà sản xuất phần mềm biết đến và vá lỗi, khiến người dùng hoàn toàn bất lực trước các cuộc tấn công. MiniPlasma thuộc chính xác loại này - Microsoft chưa hề biết về sự tồn tại của lỗ hổng cho đến khi mã khai thác được công bố. Thông thường, các nhà nghiên cứu sẽ báo cáo riêng tư cho Microsoft trước, cho phép họ có thời gian phát triển bản vá trước khi thông tin được công khai.

Tuy nhiên, trường hợp MiniPlasma lại diễn ra theo kịch bản ngược lại - proof-of-concept được phát hành trực tiếp mà không thông báo trước cho Microsoft. Chúng tôi cho rằng quyết định này của nhà nghiên cứu có thể xuất phát từ việc muốn gây áp lực lên Microsoft để ưu tiên xử lý, nhưng đồng thời cũng tạo ra rủi ro lớn cho cộng đồng người dùng. Lịch sử đã chứng kiến nhiều trường hợp tương tự, như lỗ hổng EternalBlue từng bị NSA khai thác và sau đó trở thành công cụ của ransomware WannaCry năm 2017.

Tác động domino từ máy tính cá nhân đến hệ thống doanh nghiệp

Với hơn 1,4 tỷ thiết bị Windows trên toàn cầu, trong đó có khoảng 15-20 triệu máy tính tại Việt Nam theo ước tính của chúng tôi, MiniPlasma có thể tác động đến một lượng người dùng khổng lồ. Đối với người dùng cá nhân, việc bị chiếm quyền SYSTEM có nghĩa là hacker có thể cài đặt malware, đánh cắp dữ liệu cá nhân, thay đổi cài đặt hệ thống hoặc thậm chí xóa hoàn toàn ổ cứng. Nhưng với doanh nghiệp, hậu quả còn nghiêm trọng gấp nhiều lần.

Khi một máy tính trong mạng doanh nghiệp bị chiếm quyền SYSTEM, kẻ tấn công có thể sử dụng nó làm bàn đạp để lateral movement (di chuyển ngang) sang các máy khác trong mạng nội bộ, truy cập vào cơ sở dữ liệu quan trọng, hoặc cài đặt backdoor để duy trì quyền truy cập lâu dài. Theo báo cáo của Viettel Cyber Security, năm 2023 có hơn 13.000 cuộc tấn công mạng nhắm vào các doanh nghiệp Việt Nam, và phần lớn đều bắt đầu từ việc khai thác các lỗ hổng privilege escalation tương tự MiniPlasma.

Phác thảo chiến lược phòng thủ trong tình thế bất lợi

Trong khi chờ Microsoft phát hành bản vá chính thức, người dùng Việt Nam cần áp dụng ngay các biện pháp phòng ngừa sau đây. Đầu tiên, kích hoạt User Account Control (UAC) ở mức cao nhất thông qua Control Panel > User Accounts > Change User Account Control settings, sau đó kéo thanh trượt lên mức "Always notify". Tiếp theo, sử dụng tài khoản user thường cho công việc hàng ngày thay vì tài khoản Administrator, chỉ sử dụng quyền quản trị khi thực sự cần thiết thông qua tính năng "Run as administrator".

Đối với doanh nghiệp, chúng tôi khuyến nghị triển khai ngay endpoint detection and response (EDR) để giám sát các hành vi bất thường trên từng máy trạm, đồng thời thiết lập network segmentation (phân đoạn mạng) để hạn chế khả năng lan truyền nếu một máy tính bị xâm nhập. Đặc biệt quan trọng là phải thường xuyên backup dữ liệu quan trọng và lưu trữ offline, bởi ngay cả khi bị tấn công, doanh nghiệp vẫn có thể khôi phục hoạt động nhanh chóng. Cuối cùng, hãy theo dõi chặt chẽ các thông báo từ Microsoft Update để cài đặt bản vá ngay khi có sẵn.