-
09/04/2020
-
128
-
1.709 bài viết
RegPwn: Lỗ hổng nghiêm trọng cho phép chiếm quyền SYSTEM trên Windows
Một lỗ hổng leo thang đặc quyền nghiêm trọng trên Windows vừa được các nhà nghiên cứu từ MDSec công bố, cho thấy chỉ từ một tài khoản có quyền hạn thấp, kẻ tấn công hoàn toàn có thể chiếm quyền điều khiển hệ thống ở mức cao nhất. Lỗ hổng này được đặt tên là “RegPwn”, mang mã CVE-2026-24291 và đã được Microsoft vá trong bản cập nhật Patch Tuesday tháng 3/2026.
Các tính năng Trợ năng trên Windows như Narrator hay bàn phím ảo vốn được thiết kế để hoạt động ngay cả trong những tình huống nhạy cảm, vì vậy chúng chạy với mức đặc quyền cao dù vẫn nằm trong phiên người dùng. Để duy trì hoạt động, Windows lưu cấu hình của các công cụ này trong registry, trong đó có những khóa mà người dùng có thể chỉnh sửa.Vấn đề bắt đầu xuất hiện khi hệ điều hành chuyển sang môi trường Secure Desktop, chẳng hạn như lúc khóa máy hoặc hiển thị hộp thoại UAC. Ở thời điểm này, tiến trình atbroker.exe được khởi chạy hai lần, một chạy dưới quyền người dùng và một chạy với quyền SYSTEM. Hai tiến trình này sẽ sao chép dữ liệu cấu hình trợ năng từ các khóa registry do người dùng kiểm soát sang các vị trí được bảo vệ ở mức hệ thống.
Chính cơ chế sao chép này đã vô tình tạo ra một kẽ hở trong quá trình xử lý dữ liệu. Do dữ liệu trong registry phía người dùng có thể bị chỉnh sửa, kẻ tấn công có thể can thiệp vào nội dung ngay trước khi hệ thống sao chép nó sang vùng có đặc quyền cao hơn. Khi đó, tiến trình chạy với quyền SYSTEM sẽ tin tưởng và ghi lại dữ liệu đã bị chỉnh sửa. Nếu kết hợp với symbolic link, kẻ tấn công còn có thể điều hướng quá trình ghi này tới các vị trí nhạy cảm trong registry, từ đó chiếm quyền hệ thống.
Trong kịch bản khai thác điển hình, kẻ tấn công có thể sửa giá trị ImagePath của một dịch vụ quan trọng như Windows Installer, khiến hệ thống thay vì chạy chương trình hợp lệ lại thực thi mã độc do chúng chèn vào. Vì tiến trình này chạy với quyền SYSTEM, đoạn mã độc cũng sẽ được thực thi với mức đặc quyền cao nhất, cho phép kẻ tấn công kiểm soát toàn bộ hệ thống.
Các lỗi trong quá trình thực thi (Nguồn: MDSec)
Dù vậy, việc khai thác CVE-2026-24291 không hề đơn giản vì phụ thuộc vào một khoảng thời gian rất ngắn khi hệ thống đang sao chép dữ liệu registry. Để tận dụng được khoảnh khắc này, các nhà nghiên cứu đã dùng kỹ thuật race condition bằng cách đặt các “khóa tạm” lên những tệp XML liên quan đến tính năng trợ năng. Việc này khiến tiến trình hợp lệ bị chậm lại, từ đó kéo dài thời gian xử lý. Nhờ khoảng trễ đó, kẻ tấn công có thể kịp thay thế các khóa registry bằng symbolic link độc hại trước khi quá trình sao chép hoàn tất.
Kỹ thuật này giúp việc khai thác trở nên ổn định hơn rất nhiều, biến một khoảng thời gian tấn công vốn cực kỳ ngắn thành kịch bản hoàn toàn khả thi ngoài thực tế. Theo MDSec, lỗ hổng này đã được sử dụng trong các bài kiểm thử xâm nhập từ đầu năm 2025, cho thấy nó không chỉ tồn tại trên lý thuyết mà có thể áp dụng hiệu quả trong môi trường thật.
Điểm nguy hiểm của RegPwn nằm ở chỗ kẻ tấn công chỉ cần một điểm truy cập ban đầu với quyền rất thấp cũng có thể leo lên quyền cao nhất trên hệ thống. Khi mã khai thác PoC đã bị công khai trên GitHub, nguy cơ lỗ hổng này bị tận dụng trong thực tế là hoàn toàn có thể xảy ra.
Microsoft đã phát hành bản vá cho Windows 10, Windows 11 và Windows Server. Để giảm rủi ro, các chuyên gia khuyến nghị người dùng và doanh nghiệp sớm cập nhật hệ thống. Đồng thời, các tổ chức nên theo dõi sát những thay đổi bất thường trong registry và hành vi của các tiến trình chạy với quyền SYSTEM để kịp thời phát hiện dấu hiệu khai thác.
Kỹ thuật này giúp việc khai thác trở nên ổn định hơn rất nhiều, biến một khoảng thời gian tấn công vốn cực kỳ ngắn thành kịch bản hoàn toàn khả thi ngoài thực tế. Theo MDSec, lỗ hổng này đã được sử dụng trong các bài kiểm thử xâm nhập từ đầu năm 2025, cho thấy nó không chỉ tồn tại trên lý thuyết mà có thể áp dụng hiệu quả trong môi trường thật.
Điểm nguy hiểm của RegPwn nằm ở chỗ kẻ tấn công chỉ cần một điểm truy cập ban đầu với quyền rất thấp cũng có thể leo lên quyền cao nhất trên hệ thống. Khi mã khai thác PoC đã bị công khai trên GitHub, nguy cơ lỗ hổng này bị tận dụng trong thực tế là hoàn toàn có thể xảy ra.
Microsoft đã phát hành bản vá cho Windows 10, Windows 11 và Windows Server. Để giảm rủi ro, các chuyên gia khuyến nghị người dùng và doanh nghiệp sớm cập nhật hệ thống. Đồng thời, các tổ chức nên theo dõi sát những thay đổi bất thường trong registry và hành vi của các tiến trình chạy với quyền SYSTEM để kịp thời phát hiện dấu hiệu khai thác.
Theo Cyber Press