Nguồn: github.com/Nightmare-Eclipse/RedSun
Tóm tắt
RedSun là repository chứa proof-of-concept (PoC) khai thác một lỗ hổng leo thang đặc quyền (privilege escalation) mới được phát hiện trên Windows 10, Windows 11, và Windows Server, ảnh hưởng bởi bản cập nhật tháng 4/2026. Lỗ hổng tận dụng hành vi kỳ lạ của Windows Defender khi phát hiện file độc hại có cloud tag.
Cơ chế hoạt động của lỗ hổng có phần trớ trêu: thay vì xóa file độc hại, Windows Defender quyết định ghi lại file đó về đúng vị trí ban đầu (overwrite) sau khi phát hiện cloud tag. PoC lợi dụng hành vi này để overwrite các file hệ thống quan trọng và từ đó đạt được đặc quyền SYSTEM. Đây là ví dụ điển hình của một lỗi logic trong antivirus — phần mềm bảo mật lại trở thành vector tấn công.
Tác giả mô tả đây là “way too funny” — thay vì giữ nguyên cách thông thường (drop code, để người dùng tự tìm hiểu), họ quyết định viết tài liệu chi tiết vì tính chất hài hước của bug. Lỗ hổng được viết bằng C++ (100% theo thống kê GitHub). Đây là loại vulnerability đặc biệt nguy hiểm vì không cần khai thác bug trong ứng dụng thứ ba — chỉ cần antivirus đang chạy.
Bất kỳ hệ thống Windows nào chạy Windows Defender và áp dụng bản cập nhật tháng 4/2026 đều có thể bị ảnh hưởng. Quản trị viên hệ thống nên theo dõi patch tiếp theo từ Microsoft để vá lỗ hổng này.