Tính năng cốt lõi của Windows dính lỗ hổng bảo mật nghiêm trọng

Cơ chế giao tiếp từ xa (RPC) của Windows cho phép các tiến trình giao tiếp và thực thi chức năng của nhau.

Kaspersky vừa phát hiện PhantomRPC, một lỗ hổng thuộc cơ chế giao tiếp từ xa (Remote Procedure Call - RPC) trên Windows, xuất phát từ đặc điểm thiết kế của hệ thống. Lỗ hổng này có thể bị tin tặc khai thác nhằm giả mạo máy chủ và chiếm quyền truy cập. Kết quả nghiên cứu đã được công bố tại sự kiện Black Hat Asia 2026.

Hãng bảo mật nói trên đã phân tích năm kịch bản khai thác khác nhau, cho thấy tin tặc có thể nâng quyền truy cập từ các dịch vụ trên máy cục bộ hoặc dịch vụ liên quan đến kết nối mạng lên mức cao hơn, thậm chí chiếm quyền kiểm soát hệ thống.

Cơ chế giao tiếp từ xa của Windows có thể bị hacker lợi dụng để tấn công mạng.

Do vấn đề bắt nguồn từ điểm yếu trong khâu thiết kế, lỗ hổng này mở ra gần như vô số cách thức tấn công. Bất kỳ tiến trình hoặc dịch vụ mới nào sử dụng cơ chế giao tiếp từ xa (RPC) đều có thể trở thành một điểm khai thác mới để mở rộng quyền truy cập.

Ông Haidar Kabibo, chuyên viên bảo mật ứng dụng tại Kaspersky cho biết: “Cách thức khai thác cụ thể có thể khác nhau tùy từng hệ thống, phụ thuộc vào các yếu tố như phần mềm được cài đặt, các thư viện liên kết động (Dynamic Link Library) tham gia vào quá trình giao tiếp của cơ chế giao tiếp từ xa cũng như việc các máy chủ ứng dụng cơ chế giao tiếp từ xa tương ứng có sẵn hay không. Sự khác biệt này khiến lỗ hổng trở thành một yếu tố quan trọng trong quá trình doanh nghiệp đánh giá rủi ro và triển khai biện pháp ứng phó”.

Người dùng Windows, đặc biệt các doanh nghiệp phải hết sức thận trọng trước lỗ hổng PhantomRPC.

Cách thức hoạt động của cơ chế giao tiếp từ xa trên Microsoft

Là một trong những thành phần phức tạp nhất của hệ điều hành, cơ chế giao tiếp giữa các tiến trình (Interprocess Communication - IPC) trên Windows giữ vai trò kết nối các chương trình. Trong đó, cơ chế giao tiếp từ xa (RPC) là cơ chế cốt lõi, cho phép các tiến trình giao tiếp và thực thi chức năng của nhau, ngay cả khi hoạt động trong các môi trường riêng biệt, đồng thời đóng vai trò nền tảng cho các công nghệ giao tiếp cấp cao hơn. 

Kaspersky khuyến nghị các tổ chức triển khai các biện pháp nhằm phát hiện và giảm thiểu nguy cơ bị khai thác. Chẳng hạn, triển khai giám sát dựa trên ETW để đội ngũ bảo mật nhận diện các bất thường trong hoạt động của cơ chế giao tiếp từ xa trong môi trường hệ thống, đặc biệt khi có yêu cầu kết nối tới các máy chủ không tồn tại hoặc không khả dụng.

"Việc theo dõi các dấu hiệu này giúp quản trị viên phát hiện những trường hợp đáng lẽ phải có máy chủ có cơ chế giao tiếp từ xa hợp lệ nhưng lại không hoạt động. Trong một số trường hợp, bề mặt tấn công có thể được thu hẹp bằng cách kích hoạt các dịch vụ tương ứng, đảm bảo các điểm kết nối cơ chế giao tiếp từ xa hợp lệ luôn sẵn sàng, từ đó hạn chế khả năng tin tặc triển khai máy chủ giả mạo", hãng khuyến nghị.

Ngoài, việc hạn chế sử dụng quyền SeImpersonatePrivilege cũng được nhắc tới. Theo Kaspersky, quyền này chỉ nên được cấp cho các tiến trình thực sự cần thiết. Mặc dù một số tiến trình hệ thống phụ thuộc vào quyền này để hoạt động bình thường nhưng trên thực tế, quyền này đôi khi vẫn được cấp cho các ứng dụng tùy chỉnh hoặc bên thứ ba, làm gia tăng rủi ro bảo mật.

Internet và những hiểm họa khôn lường Xem thêm