// Popular Articles
ClickFix biến thể mới: cmdkey + regsvr32 biến chính Windows thành công cụ tấn công
CyberProof vừa phát hiện biến thể ClickFix tháng 4/2026 bỏ hẳn PowerShell, chuyển sang dùng cmdkey và regsvr32 - hai LOLBin Windows ít bị giám sát - để load DLL và duy trì persistence qua scheduled task chỉ tồn tại trên server attacker. Vì sao EDR khó bắt và doanh nghiệp cần làm gì ngay?
COM Handler + Scheduled Task: Kỹ thuật persistence dưới radar mà Matt Dunwoody vừa hỏi cộng đồng
Matthew Dunwoody (Mandiant) vừa hỏi cộng đồng threat hunting: đã ai bắt được attacker dùng combo COM Handler + Scheduled Task để persist chưa? Đây là kỹ thuật public từ 2016, không cần admin, chạy trong dllhost.exe — và phần lớn EDR vẫn miss nó.
CVE-2026-32223: Lỗ hổng USB Print Driver cho phép cắm USB để chiếm SYSTEM trên Windows 11 và Server 2025
Microsoft vá CVE-2026-32223, heap buffer overflow trong usbprint.sys. Chỉ cần cắm một thiết bị USB giả dạng máy in là attacker không cần tài khoản cũng chiếm được SYSTEM. CVSS 6.8, ảnh hưởng Windows 11 24H2/25H2/26H1 và Windows Server 2025.
Windows Persistence via Startup Folder Abuse: The Quiet Trick 54 APT Groups Keep Using
Drop a file in one folder, survive every reboot — no admin rights, no UAC prompt. Startup Folder Abuse (MITRE T1547.001) is the most-used Windows persistence technique on record, tracked across 300+ malware families and 54 APT groups. Here's how it works, how attackers stage it, and how defenders catch it.
CVE-2026-33829: Windows Snipping Tool leaks NTLM hashes — PoC and patch
A single click on a crafted ms-screensketch:// link is enough to leak your Windows NTLMv2 hash. BlackArrowSec just published the PoC. Here is how CVE-2026-33829 works and what to patch.
CVE-2026-33829: Lỗ hổng Snipping Tool trên Windows làm lộ hash NTLMv2 qua mạng
Microsoft vừa vá một lỗ hổng spoofing trong Windows Snipping Tool (CVE-2026-33829): chỉ một cú click vào deep link ms-screensketch độc hại, hash NTLMv2 của người dùng có thể bị gửi sang máy chủ SMB của kẻ tấn công. Bản vá đã có trong Patch Tuesday 14/04/2026.
CVE-2025-47985: Lỗ hổng Windows Event Tracing leo thang đặc quyền lên SYSTEM
Một researcher (handle @cplearns2h4ck) vừa được MSRC credit công khai cho CVE-2025-47985 — bug untrusted pointer dereference (CWE-822) trong Windows Event Tracing cho phép local user leo thang lên SYSTEM qua LPC message giả. Điểm CVSS 7.8, vá tháng 7/2025.
DLLHijackHunter: Từ misconfig Windows đến privesc được chứng minh bằng canary DLL
DLLHijackHunter (GhostVector Academy, MIT) tự động hoá toàn bộ pipeline DLL hijacking trên Windows — Discovery, Filtration, Canary Confirmation, Scoring — và khác biệt ở chỗ thật sự build canary DLL, drop vào hijack path, trigger binary để chứng minh execution thay vì chỉ đoán.