Tin tặc đang lợi dụng lỗ hổng bảo mật Windows chưa được vá để xâm nhập vào các tổ chức

Theo một công ty an ninh mạng, tin tặc đã đột nhập vào ít nhất một tổ chức sử dụng các lỗ hổng Windows được công bố trực tuyến bởi một nhà nghiên cứu bảo mật bất mãn trong hai tuần qua.

Hôm thứ Sáu, công ty an ninh mạng Huntress cho biết trong một loạt bài đăng trên X rằng các nhà nghiên cứu của họ đã thấy tin tặc lợi dụng ba lỗ hổng bảo mật của Windows, có tên là BlueHammer, UnDefend và RedSun.

Hiện chưa rõ mục tiêu của cuộc tấn công này là ai và tin tặc là ai.

BlueHammer là lỗi duy nhất trong số 3 lỗ hổng đang bị khai thác mà Microsoft đã vá cho đến nay. Bản sửa lỗi cho BlueHammer đã được tung ra vào đầu tuần này.

Có vẻ như tin tặc đang khai thác lỗi bằng cách sử dụng mã khai thác mà nhà nghiên cứu bảo mật đã công bố trực tuyến.

Đầu tháng này, một nhà nghiên cứu của Chaotic Eclipse đã công bố trên blog của họ những gì họ nói là mã để khai thác một lỗ hổng chưa được vá trong Windows. Nhà nghiên cứu ám chỉ một số xung đột với Microsoft là động lực đằng sau việc xuất bản mã.

Họ viết: “Tôi không lừa dối Microsoft và tôi đang làm điều đó một lần nữa”. Họ nói thêm: “Xin chân thành cảm ơn lãnh đạo MSRC đã biến điều này thành hiện thực”, đề cập đến Trung tâm phản hồi bảo mật của Microsoft, nhóm của công ty chuyên điều tra các cuộc tấn công mạng và xử lý các báo cáo về lỗ hổng bảo mật.

sự kiện Techcrunch

San Francisco, CA
|
Ngày 13-15 tháng 10 năm 2026

Vài ngày sau, Chaotic Eclipse xuất bản UnDefend, và đầu tuần này đã xuất bản RedSun. Nhà nghiên cứu đã công bố mã để khai thác cả ba lỗ hổng trên trang GitHub của họ.

Tất cả ba lỗ hổng đều ảnh hưởng đến phần mềm chống vi-rút Windows Defender do Microsoft sản xuất, cho phép tin tặc có được quyền truy cập cấp cao hoặc quản trị viên vào máy tính Windows bị ảnh hưởng.

TechCunch không thể liên hệ với Chaotic Eclipse để nhận xét.

Trả lời một loạt câu hỏi cụ thể, giám đốc truyền thông của Microsoft Ben Hope cho biết trong một tuyên bố rằng công ty ủng hộ “việc phối hợp tiết lộ lỗ hổng, một phương pháp được áp dụng rộng rãi trong ngành giúp đảm bảo các vấn đề được điều tra và giải quyết cẩn thận trước khi tiết lộ công khai, hỗ trợ cả việc bảo vệ khách hàng và cộng đồng nghiên cứu bảo mật”.

Đây là trường hợp mà ngành an ninh mạng gọi là “tiết lộ đầy đủ”. Khi các nhà nghiên cứu tìm thấy lỗ hổng, họ có thể báo cáo cho nhà sản xuất phần mềm bị ảnh hưởng để giúp họ khắc phục. Tại thời điểm đó, thông thường công ty sẽ xác nhận đã nhận được và nếu lỗ hổng đó là hợp pháp thì công ty sẽ tiến hành vá nó. Thông thường, công ty và các nhà nghiên cứu đồng ý về một mốc thời gian xác định thời điểm nhà nghiên cứu có thể giải thích công khai những phát hiện của họ.

Đôi khi, vì nhiều lý do, việc liên lạc đó bị gián đoạn và các nhà nghiên cứu tiết lộ công khai chi tiết về lỗi. Trong một số trường hợp, một phần để chứng minh sự tồn tại hoặc mức độ nghiêm trọng của lỗ hổng, các nhà nghiên cứu còn tiến thêm một bước nữa và công bố mã “chứng minh khái niệm” có khả năng lạm dụng lỗi đó.

Khi điều đó xảy ra, tội phạm mạng, tin tặc chính phủ và những người khác có thể lấy mã và sử dụng nó cho các cuộc tấn công của chúng, điều này khiến những người bảo vệ an ninh mạng phải gấp rút giải quyết hậu quả.

John Hammond, một trong những nhà nghiên cứu tại Huntress, người đã theo dõi vụ việc, nói với TechCrunch: “Với những thứ này hiện rất dễ dàng có sẵn và đã được vũ khí hóa để dễ sử dụng, dù tốt hay xấu, tôi nghĩ điều đó cuối cùng sẽ đưa chúng ta vào một trận đấu giằng co khác giữa những người bảo vệ và tội phạm mạng”.

Hammond cho biết: “Những tình huống như thế này khiến chúng tôi phải chạy đua với đối thủ của mình; những người bảo vệ điên cuồng cố gắng bảo vệ khỏi những kẻ có ý đồ xấu nhanh chóng lợi dụng những lợi ích này… đặc biệt là hiện nay vì nó chỉ là công cụ tấn công được tạo sẵn”.

Bài viết liên quan

Chuyên Mục: Tin tức
Bài trước
‘Tokenmaxxing’ đang khiến các nhà phát triển làm việc kém hiệu quả hơn họ nghĩ
Bài sau
Các vết nứt đang bắt đầu hình thành do sự bùng nổ tài trợ của năng lượng nhiệt hạch