Microsoft vá lỗi không triệt để, Google công khai luôn lỗ hổng bảo mật Windows 11

Project Zero là nhóm nghiên cứu bảo mật danh tiếng của Google, chuyên tìm kiếm các lỗ hổng trong cả sản phẩm của Google lẫn phần mềm do bên thứ ba phát triển. Khi phát hiện lỗi bảo mật, Project Zero sẽ báo cáo riêng cho nhà cung cấp và cho họ thời hạn 90 ngày để phát hành bản vá. Nếu quá thời hạn này mà lỗi vẫn chưa được khắc phục, thông tin sẽ bị công khai nhằm gây thêm áp lực lên nhà phát triển, đồng thời giúp người dùng có cơ hội tự bảo vệ mình. Trong một số trường hợp phức tạp, thời hạn có thể được gia hạn thêm. Trước đây, Project Zero từng phát hiện lỗ hổng trong CentOS, libxslt, ChromeOS và cả Windows. Mới đây, nhóm đã công bố một lỗ hổng bảo mật tồn tại trong các bản Windows 11 Insider.

Theo báo cáo kỹ thuật chi tiết trên hệ thống theo dõi lỗi của Project Zero, nhà nghiên cứu bảo mật James Forshaw đã phát hiện một lỗi leo thang đặc quyền (Elevation of Privilege – EoP) trong các bản Windows 11 Insider Preview. Lỗ hổng này xuất hiện trong tính năng Administrator Protection – một khả năng sắp được Microsoft triển khai trên Windows 11, cho phép cấp quyền quản trị “đúng lúc cần thiết” thông qua Windows Hello và một admin token được cô lập.

Tuy nhiên, trong quá trình phân tích, Forshaw phát hiện Administrator Protection tồn tại một điểm yếu cho phép tiến trình có đặc quyền thấp chiếm quyền điều khiển một tiến trình giao diện có quyền UI access, từ đó leo thang lên quyền quản trị viên. Lỗ hổng này đã được Forshaw báo cáo riêng cho Microsoft vào ngày 8/8, đồng nghĩa với việc hãng có hạn chót đến ngày 6/11 để vá lỗi. Sau khi được gia hạn thêm thời gian, Microsoft đã phát hành bản vá vào ngày 12/11 và ghi nhận đóng góp của Forshaw trong mã định danh CVE-2025-60718.

Tuy nhiên, dù vụ việc tưởng như đã khép lại, Forshaw mới đây đã mở lại báo cáo, cho rằng bản vá của Microsoft chưa đầy đủ và chưa khắc phục triệt để lỗ hổng. Do Microsoft không có thêm phản hồi, Project Zero đã quyết định công khai chi tiết vấn đề bảo mật này.

Dù lỗ hổng nay đã được công bố rộng rãi, người dùng cũng không cần quá hoang mang. Đây là dạng tấn công leo thang đặc quyền cục bộ, tức kẻ tấn công phải có quyền truy cập vật lý vào máy tính để chạy mã độc và khai thác lỗ hổng. Bên cạnh đó, Administrator Protection hiện chỉ có mặt trên một số bản Windows 11 Insider nhất định và còn phải được kích hoạt thủ công. Vì vậy, số lượng người dùng có nguy cơ bị ảnh hưởng hiện tại là khá nhỏ.

Dẫu vậy, việc Microsoft cần tiếp tục điều tra kỹ lưỡng phát hiện của Forshaw và vá lỗi một cách triệt để vẫn là điều hết sức cần thiết, đặc biệt trước khi Administrator Protection được phát hành chính thức rộng rãi trên Windows 11.