Theo các chuyên gia của Kaspersky một lỗ hổng bảo mật nghiêm trọng có tên PhantomRPC vừa được phát hiện trên hệ điều hành Windows, ảnh hưởng đến cơ chế RPC (Remote Procedure Call - Gọi thủ tục từ xa), thành phần cốt lõi cho phép các tiến trình trên hệ thống giao tiếp với nhau.
Các chuyên gia cho biết lỗ hổng này không xuất phát từ một lỗi lập trình đơn lẻ mà liên quan trực tiếp đến cách thức hoạt động của hệ thống Windows. Điểm yếu này cho phép tin tặc khai thác để nâng quyền truy cập trên máy tính mục tiêu.
Trong trường hợp một tiến trình có quyền giả mạo (impersonation), kẻ tấn công có thể lợi dụng đặc quyền này để giành quyền điều khiển ở cấp hệ thống.
Theo phân tích của Kaspersky, tin tặc có thể dựng lên một RPC server giả mạo nhằm đánh lừa hệ điều hành. Khi một tiến trình có đặc quyền cao như SYSTEM hoặc Administrator kết nối đến server này, đối tượng tấn công có thể đánh cắp định danh bảo mật của tiến trình và nâng quyền truy cập lên mức cao nhất.
Từ đó, hacker có thể chiếm quyền kiểm soát hệ thống, bao gồm việc khai thác các dịch vụ trên máy cục bộ hoặc các dịch vụ liên quan đến kết nối mạng để mở rộng quyền truy cập.
Các chuyên gia cảnh báo do lỗ hổng xuất phát từ điểm yếu trong thiết kế nên gần như tồn tại vô số phương thức khai thác khác nhau. Bất kỳ tiến trình hay dịch vụ mới nào sử dụng cơ chế RPC đều có thể trở thành mục tiêu để tin tặc lợi dụng.
Trong hệ điều hành Windows, cơ chế giao tiếp giữa các tiến trình (IPC - Interprocess Communication) là thành phần quan trọng giúp các chương trình trao đổi dữ liệu và phối hợp hoạt động. Trong đó, RPC đóng vai trò nền tảng, cho phép các tiến trình giao tiếp và thực thi chức năng của nhau kể cả khi hoạt động ở những môi trường riêng biệt.
Kaspersky cho biết đã thông báo về lỗ hổng PhantomRPC cho Microsoft từ tháng 9/2025. Tuy nhiên, hãng công nghệ này hiện vẫn đánh giá mức độ ảnh hưởng của lỗi ở mức "trung bình" và chưa phát hành bản vá khắc phục.
Theo lập luận của Microsoft, để khai thác lỗ hổng, tin tặc cần phải có sẵn quyền giả mạo trên hệ thống, đồng nghĩa máy tính đã bị xâm nhập trước đó.
Dù vậy, các chuyên gia bảo mật của Kaspersky nhận định nguy cơ thực tế nghiêm trọng hơn do nhiều tài khoản dịch vụ phổ biến hiện nay vốn đã sở hữu loại đặc quyền này.
Lỗ hổng PhantomRPC được cho là ảnh hưởng đến hầu hết các phiên bản Windows hiện hành, bao gồm cả Windows Server 2022 và Windows Server 2025.
Bình luận
0