Một kỹ thuật khai thác Windows Defender mới được công bố đã hé lộ một lỗ hổng bảo mật nghiêm trọng trong cách Windows Defender quản lý cơ chế cập nhật và thực thi của nó. Bằng cách lợi dụng các liên kết biểu tượng (symbolic links), kẻ tấn công có thể chiếm quyền kiểm soát các thư mục dịch vụ của Defender, giành toàn quyền kiểm soát các tệp thực thi của nó, và thậm chí vô hiệu hóa hoàn toàn phần mềm diệt virus.

Cơ chế Hoạt động của Windows Defender và Điểm Yếu bị Khai thác

Windows Defender lưu trữ các tệp thực thi của mình bên trong các thư mục được đánh số phiên bản, nằm tại đường dẫn ProgramDataMicrosoftWindows DefenderPlatform.

Mỗi khi dịch vụ cập nhật, Defender sẽ tạo một thư mục mới với số phiên bản mới nhất và trỏ dịch vụ Defender tới đường dẫn này. Cơ chế này được thiết kế để đảm bảo quá trình chuyển đổi giữa các phiên bản diễn ra liền mạch, đồng thời bảo vệ các tệp quan trọng khỏi việc bị sửa đổi.

Khai thác Liên kết Biểu tượng (Symlink)

Tuy nhiên, các nhà nghiên cứu đã phát hiện khả năng tạo thư mục mới hoặc liên kết biểu tượng (symlinks) bên trong thư mục Platform được bảo vệ.

Bằng cách chèn một thư mục symlink với số phiên bản cao nhất, kẻ tấn công có thể lừa Defender thực thi từ một vị trí mà chúng kiểm soát hoàn toàn. Ví dụ, việc tạo một liên kết từ C:ProgramDataMicrosoftWindows DefenderPlatform5.18.25070.5-0 tới C:TMPAV sẽ buộc Defender phải thực thi từ thư mục do kẻ tấn công kiểm soát.

Điều này cho phép những kẻ xâm nhập có quyền đọc/ghi toàn bộ đối với các tệp nhị phân của phần mềm diệt virus. Đây là một khía cạnh quan trọng của kỹ thuật khai thác Windows Defender này.

Tác động và Nguy cơ An ninh Mạng

Khi đã bị chiếm quyền, Windows Defender có thể bị thao túng theo nhiều cách khác nhau. Kẻ tấn công có thể tải các DLL độc hại vào các tiến trình của Defender, ghi đè hoặc xóa các tệp thực thi quan trọng của nó, hoặc chuyển hướng dịch vụ đến các đường dẫn không hợp lệ.

Trên thực tế, điều này có nghĩa là chúng có thể vô hiệu hóa hiệu quả Windows Defender mà không cần đến các công cụ của bên thứ ba hoặc các khai thác cấp kernel. Đây là một mối đe dọa nghiêm trọng đối với an ninh mạng của hệ thống.

Một cách thức gián đoạn đơn giản hơn nữa là xóa symlink sau khi khởi động lại. Khi liên kết này bị loại bỏ, Windows Defender sẽ cố gắng khởi động từ một thư mục không tồn tại, khiến dịch vụ thất bại và khiến hệ thống không được bảo vệ.

Các ảnh chụp màn hình từ bằng chứng khái niệm (proof-of-concept) cho thấy bảng điều khiển Windows Security bị vô hiệu hóa hoàn toàn do sự thao túng này. Điều này minh họa rõ ràng mức độ nguy hiểm của kỹ thuật khai thác Windows Defender này.

Kỹ thuật Tấn công Tàng hình và Lệnh CLI

Cuộc tấn công đặc biệt nguy hiểm vì nó chỉ tận dụng các lệnh Windows tích hợp sẵn như mklink và rmdir.

Không yêu cầu mã độc đặc biệt hoặc mã khai thác phức tạp, khiến đây trở thành một phương pháp tàng hình và hiệu quả cho các đội đỏ (red team), kiểm thử xâm nhập, hoặc các đối thủ thực tế. Dưới đây là ví dụ minh họa về lệnh mklink có thể được sử dụng:

mklink /D "C:ProgramDataMicrosoftWindows DefenderPlatform5.18.25070.5-0" "C:TMPAV"

Lệnh trên tạo một liên kết thư mục (/D) từ đường dẫn hợp pháp của Defender tới một thư mục do kẻ tấn công kiểm soát. Điều này cho phép kẻ tấn công điều khiển các hành vi của Defender mà không cần đặc quyền cao hơn quyền quản trị viên.

Bài học về Phòng thủ Điểm cuối

Lỗ hổng bảo mật này cho thấy một điểm yếu cơ bản trong cơ chế tin cậy của Defender đối với cấu trúc thư mục trong quá trình chuyển đổi phiên bản.

Do không xác thực đúng cách các symlink, phần mềm diệt virus hàng đầu của Microsoft có thể bị lật đổ ở cấp độ người dùng với quyền quản trị viên. Đây là một minh chứng khác cho tính phức tạp của các mối đe dọa.

Các kỹ thuật như vậy nhấn mạnh thách thức lớn hơn trong phòng thủ điểm cuối: phần mềm bảo mật tự nó hoạt động với đặc quyền nâng cao nhưng thường có các cơ chế có thể bị khai thác, làm suy yếu khả năng bảo vệ của nó.

Đối với kẻ tấn công, khả năng né tránh hoặc vô hiệu hóa các biện pháp phòng thủ là một phần quan trọng để duy trì quyền truy cập trên hệ thống mục tiêu. Việc phát hiện ra kỹ thuật khai thác Windows Defender này củng cố bản chất cuộc chiến không ngừng giữa các nhà phát triển mã độc và công nghệ phòng thủ.

Khi Windows Defender tiếp tục là công cụ bảo mật mặc định cho hàng triệu người dùng, tiềm năng khai thác của nó khiến nó trở thành mục tiêu có giá trị cao.