microsoft

Bạn có tin rằng toàn bộ hạ tầng tài chính, quân sự và chính phủ của thế giới có thể bị đánh sập chỉ bởi một sự chậm trễ kéo dài chưa đầy một cái chớp mắt? Vào những ngày cuối tháng 3/2024, Internet đã đứng trước bờ vực của một thảm họa toàn cầu, không phải từ một cuộc tấn công rầm rộ, mà từ một...

Microsoft vừa công bố một lỗ hổng trong bộ ứng dụng Microsoft Office có thể cho phép kẻ tấn công thực thi mã độc trên máy tính của người dùng. Lỗ hổng được định danh CVE-2026-26110, công bố ngày 10/3/2026 với điểm CVSS 8,4/10, cho thấy mức độ rủi ro cao đối với cả người dùng cá nhân lẫn doanh...

Chỉ với một tài khoản người dùng thông thường, kẻ tấn công có khả năng chiếm đoạt quyền kiểm soát tối cao trên toàn bộ hạ tầng Windows thông qua lỗ hổng leo thang đặc quyền nghiêm trọng vừa được phát hiện trong Active Directory Domain Services (AD DS). Sự cố này biến hệ thống quản trị danh tính...

Vừa được Microsoft vá trong Patch Tuesday tháng 2/2026, lỗ hổng CVE-2026-21513 trong MSHTML Framework nhanh chóng trở thành tâm điểm chú ý khi xuất hiện dấu hiệu cho thấy nó đã bị khai thác zero-day trước đó. Các phân tích ban đầu đặt nghi vấn chiến dịch này có thể liên quan đến APT28, làm dấy...

Microsoft vừa cảnh báo về một chiến dịch tấn công có tổ chức nhắm trực tiếp vào cộng đồng lập trình viên. Thay vì phát tán mã độc theo cách truyền thống, kẻ tấn công dựng các repository giả mạo dự án Next.js dưới vỏ bọc “bài test tuyển dụng”. Khi ứng viên tải về và chạy thử, mã độc được kích...

Microsoft vừa phát hành bản cập nhật định kỳ tháng 2/2026 vá gần 60 lỗ hổng trên Windows, Office, dịch vụ đám mây Azure và một số thành phần phổ biến khác. Đáng chú ý, có nhiều lỗ hổng đã bị tin tặc khai thác, nghĩa là nếu chưa cập nhật, hệ thống có nguy cơ bị xâm nhập ngay khi người dùng vô...

Microsoft vừa phát hành bản vá bảo mật ngoài chu kỳ (out-of-band) để khắc phục một lỗ hổng zero-day nghiêm trọng trong Microsoft Office, hiện đã bị tin tặc khai thác trong các cuộc tấn công thực tế. Lỗ hổng được theo dõi với mã CVE-2026-21509, có điểm CVSS 7,8 và được phân loại là lỗi bypass cơ...

Microsoft mở màn năm 2026 bằng một đợt vá bảo mật quy mô lớn, khắc phục tổng cộng 114 lỗ hổng trên nhiều thành phần cốt lõi của hệ sinh thái Windows và Microsoft 365. Trong số này có 8 lỗ hổng nghiêm trọng và 106 lỗ hổng ở mức quan trọng, trải dài từ Windows NTFS, Desktop Window Manager cho tới...

Microsoft vừa phát hành bản vá nhằm khắc phục một lỗ hổng nghiêm trọng trong Desktop Window Manager, thành phần chịu trách nhiệm xử lý và kết xuất giao diện đồ họa trên hệ điều hành Windows. Lỗ hổng này có thể bị khai thác để thực hiện các cuộc tấn công leo thang đặc quyền cục bộ, cho phép kẻ...

Một chiến dịch tấn công chuỗi cung ứng phần mềm mang tên GlassWorm vừa xuất hiện trở lại, gây lo ngại cho cộng đồng lập trình viên toàn cầu. Các chuyên gia an ninh mạng ghi nhận chiến dịch này đã xâm nhập Microsoft Visual Studio Marketplace và Open VSX, phát tán tổng cộng 24 extension giả mạo...

Một chiến dịch lừa đảo tinh vi đang lan rộng, khai thác một “ảo ảnh thị giác” nhỏ đến mức khó nhận ra để đánh cắp tài khoản Microsoft của người dùng. Tin tặc đã đăng ký tên miền rnicrosoft.com, thay chữ “m” bằng hai chữ “r” + “n”, nhưng khi hiển thị trên trình duyệt hoặc email, ký tự này lại...

Một chiến dịch lừa đảo giả mạo (phishing) mới đang khiến cộng đồng an ninh mạng lo ngại khi kẻ tấn công lợi dụng chính tính năng mời người dùng bên ngoài của Microsoft Entra để đánh lừa nạn nhân. Thay vì gửi email giả như thông thường, tin tặc lần này sử dụng hạ tầng Microsoft thật, gửi thư từ...

Microsoft vừa phát hành bản vá bảo mật khẩn cấp để xử lý lỗ hổng trong Microsoft SQL Server, được định danh là CVE-2025-59499. Lỗ hổng này được đánh giá mức độ nguy hiểm cao (CVSS 8,8) và ảnh hưởng đến hầu hết các phiên bản phổ biến như SQL Server 2022, 2019, 2017 và 2016. Theo Microsoft...

Microsoft vừa phát hành bản vá bảo mật tháng 11/2025 (Patch Tuesday), khắc phục 63 lỗ hổng trong các sản phẩm Windows và phần mềm liên quan, trong đó có một lỗ hổng nghiêm trọng đang bị tin tặc khai thác tích cực. Đây là một trong những đợt cập nhật đáng chú ý nhất năm, khi nhiều lỗ hổng có thể...

Giữa lúc Internet Explorer (IE) đã chính thức “nghỉ hưu”, một chiến dịch tấn công mạng tinh vi mới lại bất ngờ khai thác chính tính năng IE Mode trong trình duyệt Microsoft Edge, vốn được tạo ra để giúp người dùng truy cập các trang web cũ. Chiến dịch tinh vi này xuất hiện vào tháng 8/2025...

Trong khi các nhà phát triển vẫn đang phụ thuộc vào kho thư viện mã nguồn mở như npm để tiết kiệm thời gian lập trình, thì giới tội phạm mạng lại tìm ra cách mới để biến chính nền tảng này thành hạ tầng phát tán phishing. Một chiến dịch tinh vi mang tên Beamglea vừa bị các nhà nghiên cứu an ninh...

Một chiến dịch lừa đảo mới đang ẩn mình sau những mã QR “trông có vẻ hợp pháp” được gửi từ Microsoft. Bắt đầu bùng phát từ đầu tháng 10/2025, chiến dịch này lợi dụng email giả mạo Teams, Office 365 và Authenticator để dụ người dùng quét mã “kích hoạt bảo mật” hoặc “sửa lỗi tài khoản”. Chỉ một cú...

Một chiến dịch tấn công mạng nghiêm trọng đang khiến giới an ninh mạng toàn cầu lo ngại, nhóm tin tặc Storm-1175 đã được Microsoft theo dõi từ lâu, đã khai thác lỗ hổng bảo mật nghiêm trọng CVE-2025-10035 trong công cụ GoAnywhere MFT của hãng Fortra để phát tán ransomware Medusa. Lỗ hổng này...

Mới đây, các chuyên gia an ninh mạng đã phát hiện lỗ hổng mang mã CVE-2025-55241, lỗ hổng trong cơ chế xác thực của Microsoft Entra ID (trước đây là Azure Active Directory). Lỗ hổng này cho phép một token duy nhất, lấy từ bất kỳ tài khoản thử nghiệm nào, có thể trao cho kẻ tấn công quyền quản...

Ngày 12/8, Microsoft công bố bản vá bảo mật tháng 8/2025, xử lý tổng cộng 107 lỗ hổng, trong đó có một lỗ hổng zero-day đã được công bố công khai trong Windows Kerberos. Đây là lỗ hổng nâng quyền đặc biệt, cho phép kẻ tấn công đã xác thực có thể giành quyền quản trị miền. Đợt vá này tập trung...