Từ đây, câu chuyện không dừng lại ở việc phá hoại. Khi một DLL quan trọng bị xóa, kẻ tấn công có thể lợi dụng cơ chế tìm kiếm DLL của Windows để “cấy” một file độc hại vào vị trí ưu tiên cao hơn. Khi dịch vụ khởi động lại, hệ thống sẽ nạp DLL giả này, qua đó cho phép thực thi mã với quyền SYSTEM. Đây là kỹ thuật quen thuộc trong giới tấn công, thường được gọi là DLL hijacking, nhưng trong trường hợp này nó được kích hoạt thông qua một lỗi xóa file.
Với điểm CVSS 8,2, lỗ hổng CVE-2026-33694 được đánh giá là nguy hiểm, đồng thời dễ bị khai thác: không cần người dùng thao tác gì, không yêu cầu điều kiện đặc biệt và kẻ tấn công chỉ cần có quyền truy cập ban đầu ở mức tài khoản thông thường là đủ. Trong thực tế, kịch bản tấn công có thể bắt đầu từ một tài khoản bị lộ qua phishing hoặc một lỗ hổng web, sau đó nhanh chóng leo thang đặc quyền thông qua Nessus Agent để chiếm toàn bộ hệ thống.
Đáng quan ngại hơn là Nessus thường được cài đặt trên các máy chủ hoặc endpoint quan trọng. Điều này biến một công cụ bảo mật thành điểm tấn công tiềm năng, một “nghịch lý” không hiếm gặp khi các agent có đặc quyền cao lại ít bị giám sát chặt chẽ.
Trước rủi ro này, các tổ chức nên nhanh chóng cập nhật lên Nessus Agent phiên bản 11.1.3, đồng thời tăng cường giám sát các hành vi bất thường như tạo junction trái phép, kiểm soát quyền truy cập thư mục làm việc và theo dõi tính toàn vẹn của DLL hệ thống. CVE-2026-33694 không phải là lỗ hổng phức tạp, nhưng lại đủ thực dụng để trở thành bàn đạp nguy hiểm nếu bị khai thác trong môi trường thực tế.
