-
09/04/2020
-
141
-
2.026 bài viết
Microsoft khiến giới quản trị 'toát mồ hôi' với bản vá kỷ lục 622 lỗ hổng
Microsoft vừa phát hành đợt Patch Tuesday lớn nhất trong lịch sử với 622 lỗ hổng bảo mật được khắc phục chỉ trong một ngày. Không chỉ phá vỡ mọi kỷ lục trước đó, bản cập nhật tháng 7/2026 còn khiến các đội ngũ quản trị hệ thống phải lập tức vào cuộc khi xuất hiện hai lỗ hổng zero-day đã bị khai thác ngoài thực tế. Từ Windows, SharePoint, Office đến Active Directory Federation Services (AD FS), hầu hết các nền tảng trọng yếu trong hệ sinh thái Microsoft đều nằm trong danh sách bị ảnh hưởng.
Hai zero-day bị khai thác cần ưu tiên xử lý ngay
Tâm điểm của đợt Patch Tuesday tháng 7 là hai lỗ hổng leo thang đặc quyền CVE-2026-56164 trên SharePoint Server và CVE-2026-56155 trên Active Directory Federation Services (AD FS). Microsoft xác nhận cả hai đã bị khai thác trước thời điểm phát hành bản vá, khiến chúng trở thành những lỗ hổng cần được ưu tiên xử lý trong đợt cập nhật lần này.
Trong đó, CVE-2026-56164 là lỗ hổng phân quyền trên SharePoint Server cho phép đối tượng chưa xác thực nâng quyền từ xa trên hệ thống. Microsoft cho biết lỗ hổng được phát hiện trong quá trình điều tra các cuộc tấn công thực tế bởi các chuyên gia ứng cứu sự cố của Mandiant và nhóm FLARE thuộc Google. Hãng chưa công bố chi tiết kỹ thuật hoặc phương thức khai thác, tuy nhiên việc lỗi không yêu cầu thông tin xác thực khiến mức độ rủi ro tăng lên đáng kể đối với các hệ thống SharePoint đang vận hành trên Internet.
SharePoint hiện được sử dụng rộng rãi trong doanh nghiệp để lưu trữ tài liệu nội bộ, quản lý quy trình làm việc và chia sẻ dữ liệu giữa các phòng ban. Khi giành được đặc quyền cao hơn trên máy chủ SharePoint, kẻ tấn công có thể tiếp tục thực hiện các hoạt động hậu khai thác như thu thập dữ liệu, mở rộng quyền truy cập hoặc di chuyển sang các hệ thống khác trong mạng nội bộ. Microsoft khuyến nghị các tổ chức triển khai bản vá sớm nhất có thể, đồng thời kích hoạt AMSI ở chế độ Full Mode nhằm tăng khả năng phát hiện hành vi khai thác. Không giống Windows Server hay SQL Server, SharePoint Server 2016 và SharePoint Server 2019 không được Microsoft cung cấp chương trình Extended Security Updates (ESU). Sau ngày kết thúc hỗ trợ, các hệ thống tiếp tục vận hành trên hai phiên bản này sẽ không còn nhận được bản vá bảo mật từ Microsoft.
Lỗ hổng còn lại, CVE-2026-56155, ảnh hưởng đến Active Directory Federation Services (AD FS), thành phần chịu trách nhiệm xác thực danh tính và phát hành token truy cập cho nhiều ứng dụng doanh nghiệp cũng như dịch vụ đám mây. Theo Microsoft, lỗi xuất phát từ cơ chế kiểm soát truy cập chưa đầy đủ, cho phép đối tượng đã có quyền truy cập trên hệ thống tiếp tục leo thang đặc quyền cục bộ.
Xét riêng về điều kiện khai thác, CVE-2026-56155 không nghiêm trọng bằng nhiều lỗ hổng thực thi mã từ xa được vá trong tháng này. Tuy nhiên, AD FS lại là một trong những thành phần quan trọng nhất trong hạ tầng nhận dạng của doanh nghiệp. Máy chủ AD FS chịu trách nhiệm phát hành token xác thực cho nhiều hệ thống khác nhau, từ ứng dụng nội bộ đến các dịch vụ Microsoft 365. Việc chiếm được quyền kiểm soát trên máy chủ AD FS có thể tạo điều kiện cho kẻ tấn công mở rộng phạm vi truy cập, duy trì hiện diện trong môi trường bị xâm nhập và gia tăng khả năng kiểm soát các tài nguyên quan trọng. Hiện Microsoft chưa công bố chi tiết kỹ thuật cũng như phương thức khai thác CVE-2026-56155. Lỗ hổng được phát hiện bởi nhóm DART trong quá trình ứng cứu các vụ tấn công thực tế.
Trong đó, CVE-2026-56164 là lỗ hổng phân quyền trên SharePoint Server cho phép đối tượng chưa xác thực nâng quyền từ xa trên hệ thống. Microsoft cho biết lỗ hổng được phát hiện trong quá trình điều tra các cuộc tấn công thực tế bởi các chuyên gia ứng cứu sự cố của Mandiant và nhóm FLARE thuộc Google. Hãng chưa công bố chi tiết kỹ thuật hoặc phương thức khai thác, tuy nhiên việc lỗi không yêu cầu thông tin xác thực khiến mức độ rủi ro tăng lên đáng kể đối với các hệ thống SharePoint đang vận hành trên Internet.
SharePoint hiện được sử dụng rộng rãi trong doanh nghiệp để lưu trữ tài liệu nội bộ, quản lý quy trình làm việc và chia sẻ dữ liệu giữa các phòng ban. Khi giành được đặc quyền cao hơn trên máy chủ SharePoint, kẻ tấn công có thể tiếp tục thực hiện các hoạt động hậu khai thác như thu thập dữ liệu, mở rộng quyền truy cập hoặc di chuyển sang các hệ thống khác trong mạng nội bộ. Microsoft khuyến nghị các tổ chức triển khai bản vá sớm nhất có thể, đồng thời kích hoạt AMSI ở chế độ Full Mode nhằm tăng khả năng phát hiện hành vi khai thác. Không giống Windows Server hay SQL Server, SharePoint Server 2016 và SharePoint Server 2019 không được Microsoft cung cấp chương trình Extended Security Updates (ESU). Sau ngày kết thúc hỗ trợ, các hệ thống tiếp tục vận hành trên hai phiên bản này sẽ không còn nhận được bản vá bảo mật từ Microsoft.
Lỗ hổng còn lại, CVE-2026-56155, ảnh hưởng đến Active Directory Federation Services (AD FS), thành phần chịu trách nhiệm xác thực danh tính và phát hành token truy cập cho nhiều ứng dụng doanh nghiệp cũng như dịch vụ đám mây. Theo Microsoft, lỗi xuất phát từ cơ chế kiểm soát truy cập chưa đầy đủ, cho phép đối tượng đã có quyền truy cập trên hệ thống tiếp tục leo thang đặc quyền cục bộ.
Xét riêng về điều kiện khai thác, CVE-2026-56155 không nghiêm trọng bằng nhiều lỗ hổng thực thi mã từ xa được vá trong tháng này. Tuy nhiên, AD FS lại là một trong những thành phần quan trọng nhất trong hạ tầng nhận dạng của doanh nghiệp. Máy chủ AD FS chịu trách nhiệm phát hành token xác thực cho nhiều hệ thống khác nhau, từ ứng dụng nội bộ đến các dịch vụ Microsoft 365. Việc chiếm được quyền kiểm soát trên máy chủ AD FS có thể tạo điều kiện cho kẻ tấn công mở rộng phạm vi truy cập, duy trì hiện diện trong môi trường bị xâm nhập và gia tăng khả năng kiểm soát các tài nguyên quan trọng. Hiện Microsoft chưa công bố chi tiết kỹ thuật cũng như phương thức khai thác CVE-2026-56155. Lỗ hổng được phát hiện bởi nhóm DART trong quá trình ứng cứu các vụ tấn công thực tế.
Thêm một zero-day được công khai trước khi vá
Bên cạnh hai zero-day đang bị khai thác, Microsoft cũng khắc phục CVE-2026-50661, lỗ hổng bỏ qua cơ chế bảo vệ của BitLocker đã được công khai trước thời điểm phát hành bản vá. Khác với SharePoint Server và AD FS, việc khai thác CVE-2026-50661 yêu cầu quyền truy cập vật lý vào thiết bị. Điều này làm giảm đáng kể khả năng bị lợi dụng trong các cuộc tấn công từ xa, song vẫn đặt ra rủi ro đối với các hệ thống bị mất cắp hoặc nằm ngoài phạm vi kiểm soát của tổ chức.
CVE-2026-50661 tiếp tục nối dài danh sách các lỗ hổng ảnh hưởng đến BitLocker được phát hiện trong năm 2026. Trước đó, Microsoft đã phải phát hành nhiều bản vá liên quan đến cơ chế mã hóa ổ đĩa của Windows sau khi các nhà nghiên cứu công bố các kỹ thuật vượt qua lớp bảo vệ này.
CVE-2026-50661 tiếp tục nối dài danh sách các lỗ hổng ảnh hưởng đến BitLocker được phát hiện trong năm 2026. Trước đó, Microsoft đã phải phát hành nhiều bản vá liên quan đến cơ chế mã hóa ổ đĩa của Windows sau khi các nhà nghiên cứu công bố các kỹ thuật vượt qua lớp bảo vệ này.
SharePoint tiếp tục là điểm nóng
Bên cạnh zero-day đang bị khai thác, SharePoint còn xuất hiện một lỗ hổng thu hút sự chú ý của cộng đồng nghiên cứu an ninh mạng là CVE-2026-55040. Lỗ hổng được Rapid7 phát hiện trong quá trình tham gia cuộc thi Pwn2Own Berlin, một trong những sân chơi khai thác lỗ hổng uy tín nhất thế giới.
CVE-2026-55040 ảnh hưởng đến cơ chế xác thực JWT của SharePoint và có thể cho phép kẻ tấn công vượt qua các bước kiểm tra danh tính trong một số điều kiện nhất định. Theo Rapid7, bản thân lỗ hổng này chưa dẫn tới thực thi mã từ xa, nhưng khi kết hợp với một lỗ hổng RCE khác chưa được vá, kẻ tấn công có thể xây dựng chuỗi khai thác hoàn chỉnh để chiếm quyền điều khiển máy chủ SharePoint mà không cần xác thực. Đây cũng là kịch bản mà nhóm nghiên cứu đã trình diễn tại Pwn2Own Berlin. Thay vì khai thác một lỗi đơn lẻ, chuỗi tấn công tận dụng nhiều điểm yếu liên tiếp để từng bước vượt qua cơ chế bảo vệ và đạt được quyền thực thi mã trên hệ thống mục tiêu.
Trong đợt cập nhật tháng 7, Microsoft đã vá CVE-2026-55040 nhằm chặn mắt xích bỏ qua xác thực trong chuỗi khai thác. Tuy nhiên, lỗ hổng thực thi mã từ xa còn lại vẫn chưa được khắc phục và dự kiến sẽ nhận bản vá vào tháng 8.
Sự xuất hiện của CVE-2026-55040 tiếp tục cho thấy SharePoint vẫn là một trong những mục tiêu hấp dẫn đối với các nhóm tấn công. Với vai trò lưu trữ tài liệu, dữ liệu nghiệp vụ và nhiều thông tin nội bộ quan trọng, các máy chủ SharePoint thường mang lại giá trị cao sau khi bị xâm nhập. Đây cũng là lý do nền tảng này liên tục xuất hiện trong các cuộc thi khai thác lỗ hổng cũng như các chiến dịch tấn công nhằm vào môi trường doanh nghiệp trong những năm gần đây.
CVE-2026-55040 ảnh hưởng đến cơ chế xác thực JWT của SharePoint và có thể cho phép kẻ tấn công vượt qua các bước kiểm tra danh tính trong một số điều kiện nhất định. Theo Rapid7, bản thân lỗ hổng này chưa dẫn tới thực thi mã từ xa, nhưng khi kết hợp với một lỗ hổng RCE khác chưa được vá, kẻ tấn công có thể xây dựng chuỗi khai thác hoàn chỉnh để chiếm quyền điều khiển máy chủ SharePoint mà không cần xác thực. Đây cũng là kịch bản mà nhóm nghiên cứu đã trình diễn tại Pwn2Own Berlin. Thay vì khai thác một lỗi đơn lẻ, chuỗi tấn công tận dụng nhiều điểm yếu liên tiếp để từng bước vượt qua cơ chế bảo vệ và đạt được quyền thực thi mã trên hệ thống mục tiêu.
Trong đợt cập nhật tháng 7, Microsoft đã vá CVE-2026-55040 nhằm chặn mắt xích bỏ qua xác thực trong chuỗi khai thác. Tuy nhiên, lỗ hổng thực thi mã từ xa còn lại vẫn chưa được khắc phục và dự kiến sẽ nhận bản vá vào tháng 8.
Sự xuất hiện của CVE-2026-55040 tiếp tục cho thấy SharePoint vẫn là một trong những mục tiêu hấp dẫn đối với các nhóm tấn công. Với vai trò lưu trữ tài liệu, dữ liệu nghiệp vụ và nhiều thông tin nội bộ quan trọng, các máy chủ SharePoint thường mang lại giá trị cao sau khi bị xâm nhập. Đây cũng là lý do nền tảng này liên tục xuất hiện trong các cuộc thi khai thác lỗ hổng cũng như các chiến dịch tấn công nhằm vào môi trường doanh nghiệp trong những năm gần đây.
Windows chiếm hơn 2/3 tổng số lỗ hổng
Windows tiếp tục là nhóm sản phẩm chịu ảnh hưởng nặng nề nhất trong Patch Tuesday tháng 7 với 416 lỗ hổng được khắc phục, chiếm hơn hai phần ba tổng số CVE được Microsoft xử lý trong tháng này.
Nổi bật nhất là CVE-2026-57092, lỗ hổng thực thi mã từ xa trên Windows VMSwitch được đánh giá CVSS 9.9, mức điểm cao nhất trong toàn bộ đợt phát hành. Bên cạnh đó, Microsoft còn vá 5 lỗ hổng RCE ảnh hưởng đến DHCP cùng hàng chục lỗ hổng liên quan đến trình điều khiển NTFS và ReFS.
Không chỉ Windows, đợt cập nhật lần này còn tác động tới hầu hết các nền tảng quan trọng trong hệ sinh thái Microsoft. Office ghi nhận 82 lỗ hổng, Microsoft Edge có 46 lỗ hổng, trong khi Visual Studio, VS Code và GitHub Copilot cộng lại có 27 lỗ hổng được khắc phục.
Ở nhóm sản phẩm máy chủ và hạ tầng doanh nghiệp, SharePoint Server được vá 17 lỗ hổng, Azure có 11 lỗ hổng và SQL Server có 8 lỗ hổng. Đáng chú ý, hai lỗ hổng CVE-2026-54117 và CVE-2026-54118 trên SQL Server đều có thể dẫn tới thực thi mã từ xa với điểm CVSS 8.8.
Microsoft Defender cũng nhận bản vá cho 5 lỗ hổng, trong đó có hai lỗ hổng thực thi mã từ xa được xếp hạng Critical. Trong khi đó, Exchange Server được xử lý 5 lỗ hổng, nổi bật là CVE-2026-55008, lỗi Stored XSS trên Outlook Web Access (OWA) có điểm CVSS 9.6.
Theo thống kê của Zero Day Initiative (ZDI), riêng đợt Patch Tuesday tháng 7 đã bao gồm khoảng 95 lỗ hổng thực thi mã từ xa. Con số này phản ánh áp lực ngày càng lớn đối với các tổ chức vận hành hạ tầng Microsoft, đặc biệt khi các lỗ hổng RCE vẫn là một trong những con đường tấn công phổ biến nhất để giành quyền kiểm soát hệ thống.
Nổi bật nhất là CVE-2026-57092, lỗ hổng thực thi mã từ xa trên Windows VMSwitch được đánh giá CVSS 9.9, mức điểm cao nhất trong toàn bộ đợt phát hành. Bên cạnh đó, Microsoft còn vá 5 lỗ hổng RCE ảnh hưởng đến DHCP cùng hàng chục lỗ hổng liên quan đến trình điều khiển NTFS và ReFS.
Không chỉ Windows, đợt cập nhật lần này còn tác động tới hầu hết các nền tảng quan trọng trong hệ sinh thái Microsoft. Office ghi nhận 82 lỗ hổng, Microsoft Edge có 46 lỗ hổng, trong khi Visual Studio, VS Code và GitHub Copilot cộng lại có 27 lỗ hổng được khắc phục.
Ở nhóm sản phẩm máy chủ và hạ tầng doanh nghiệp, SharePoint Server được vá 17 lỗ hổng, Azure có 11 lỗ hổng và SQL Server có 8 lỗ hổng. Đáng chú ý, hai lỗ hổng CVE-2026-54117 và CVE-2026-54118 trên SQL Server đều có thể dẫn tới thực thi mã từ xa với điểm CVSS 8.8.
Microsoft Defender cũng nhận bản vá cho 5 lỗ hổng, trong đó có hai lỗ hổng thực thi mã từ xa được xếp hạng Critical. Trong khi đó, Exchange Server được xử lý 5 lỗ hổng, nổi bật là CVE-2026-55008, lỗi Stored XSS trên Outlook Web Access (OWA) có điểm CVSS 9.6.
Theo thống kê của Zero Day Initiative (ZDI), riêng đợt Patch Tuesday tháng 7 đã bao gồm khoảng 95 lỗ hổng thực thi mã từ xa. Con số này phản ánh áp lực ngày càng lớn đối với các tổ chức vận hành hạ tầng Microsoft, đặc biệt khi các lỗ hổng RCE vẫn là một trong những con đường tấn công phổ biến nhất để giành quyền kiểm soát hệ thống.
Microsoft hoàn tất lộ trình loại bỏ RC4 trong Kerberos
Bên cạnh các bản vá bảo mật, Patch Tuesday tháng 7 cũng đánh dấu bước cuối trong kế hoạch loại bỏ RC4 khỏi Kerberos mà Microsoft triển khai từ đầu năm 2026.
Bản cập nhật lần này gỡ bỏ cơ chế rollback được nhiều quản trị viên sử dụng để duy trì khả năng tương thích với các hệ thống cũ. Sau khi cài đặt bản vá, RC4 chỉ còn hoạt động trên những tài khoản được cấu hình cho phép rõ ràng, trong khi các cơ chế tạm thời được Microsoft cung cấp trước đó sẽ không còn hiệu lực. Đây là thay đổi có thể ảnh hưởng trực tiếp tới môi trường vận hành của doanh nghiệp. Các tài khoản dịch vụ hoặc ứng dụng cũ vẫn sử dụng RC4 để yêu cầu vé Kerberos có nguy cơ gặp lỗi xác thực sau khi bản cập nhật được triển khai.
Microsoft khuyến nghị các tổ chức rà soát nhật ký sự kiện RC4 đã được bổ sung từ tháng 1, xác định các hệ thống còn phụ thuộc vào thuật toán này và chuyển đổi sang AES trước khi triển khai bản vá trên diện rộng. Đối với các tài khoản dịch vụ chưa có khóa AES, việc thay đổi mật khẩu sẽ giúp Windows tạo mới khóa mã hóa tương thích.
Khác với các lỗ hổng được vá trong Patch Tuesday tháng 7, thay đổi liên quan đến RC4 không tạo ra nguy cơ bị tấn công ngay lập tức. Tuy nhiên, nếu bỏ qua quá trình kiểm tra và đánh giá tác động, các tổ chức có thể phải đối mặt với sự cố gián đoạn xác thực trên những hệ thống vẫn đang sử dụng các cấu hình Kerberos cũ.
Bản cập nhật lần này gỡ bỏ cơ chế rollback được nhiều quản trị viên sử dụng để duy trì khả năng tương thích với các hệ thống cũ. Sau khi cài đặt bản vá, RC4 chỉ còn hoạt động trên những tài khoản được cấu hình cho phép rõ ràng, trong khi các cơ chế tạm thời được Microsoft cung cấp trước đó sẽ không còn hiệu lực. Đây là thay đổi có thể ảnh hưởng trực tiếp tới môi trường vận hành của doanh nghiệp. Các tài khoản dịch vụ hoặc ứng dụng cũ vẫn sử dụng RC4 để yêu cầu vé Kerberos có nguy cơ gặp lỗi xác thực sau khi bản cập nhật được triển khai.
Microsoft khuyến nghị các tổ chức rà soát nhật ký sự kiện RC4 đã được bổ sung từ tháng 1, xác định các hệ thống còn phụ thuộc vào thuật toán này và chuyển đổi sang AES trước khi triển khai bản vá trên diện rộng. Đối với các tài khoản dịch vụ chưa có khóa AES, việc thay đổi mật khẩu sẽ giúp Windows tạo mới khóa mã hóa tương thích.
Khác với các lỗ hổng được vá trong Patch Tuesday tháng 7, thay đổi liên quan đến RC4 không tạo ra nguy cơ bị tấn công ngay lập tức. Tuy nhiên, nếu bỏ qua quá trình kiểm tra và đánh giá tác động, các tổ chức có thể phải đối mặt với sự cố gián đoạn xác thực trên những hệ thống vẫn đang sử dụng các cấu hình Kerberos cũ.
Kỷ lục mới và áp lực mới
Patch Tuesday tháng 7/2026 đi vào lịch sử Microsoft với 622 lỗ hổng được khắc phục, vượt xa mọi đợt phát hành trước đây. Tuy nhiên, điều khiến đợt cập nhật này trở nên đáng chú ý không chỉ nằm ở số lượng bản vá, mà còn ở việc hai zero-day trên SharePoint Server và AD FS đã bị khai thác trước khi Microsoft kịp phát hành bản sửa lỗi.
Đối với nhiều tổ chức, đây sẽ là một trong những đợt cập nhật phức tạp nhất từ đầu năm đến nay. Bên cạnh hàng trăm lỗ hổng cần đánh giá, các quản trị viên còn phải ưu tiên xử lý những hệ thống đang đối mặt với nguy cơ bị khai thác thực tế, đặc biệt là SharePoint Server và AD FS.
Đối với nhiều tổ chức, đây sẽ là một trong những đợt cập nhật phức tạp nhất từ đầu năm đến nay. Bên cạnh hàng trăm lỗ hổng cần đánh giá, các quản trị viên còn phải ưu tiên xử lý những hệ thống đang đối mặt với nguy cơ bị khai thác thực tế, đặc biệt là SharePoint Server và AD FS.