Microsoft vá 167 lỗi trong đợt cập nhật tháng 4, bao gồm 2 lỗ hổng Zero-day

Microsoft vừa phát hành bản cập nhật bảo mật định kỳ tháng 4.2026, xử lý tổng cộng 167 lỗ hổng, bao gồm 2 zero-day. Trong đó, một lỗ hổng trên SharePoint được xác nhận đang bị khai thác trong thực tế và một lỗ hổng Defender đã công khai trước khi có bản vá.

Trong đợt cập nhật này, Microsoft cũng xử lý 8 lỗ hổng được xếp loại “Critical”, trong đó có 7 lỗ hổng thực thi mã từ xa (RCE) và 1 lỗ hổng từ chối dịch vụ (DoS).

Cụ thể, phân loại các lỗ hổng gồm 93 lỗ hổng leo thang đặc quyền, 13 lỗ hổng vượt qua cơ chế bảo mật, 20 lỗ hổng RCE, 21 lỗ hổng rò rỉ thông tin, 10 lỗ hổng DoS và 9 lỗ hổng giả mạo. Số liệu chỉ tính các lỗ hổng được Microsoft phát hành bản vá trong ngày mới được tính vào tổng số này. Vì vậy, các lỗ hổng đã được vá trước đó trong các sản phẩm như Mariner, Azure và Bing không được bao gồm. Ngoài ra, khoảng 80 lỗ hổng trên Microsoft Edge/Chromium cũng đã được Google xử lý riêng.

Hai lỗ hổng zero-day nhận được sự quan tâm lớn. Lỗ hổng đầu tiên là CVE-2026-32201 ảnh hưởng đến Microsoft SharePoint Server. Microsoft xác nhận đây là lỗ hổng giả mạo do kiểm tra đầu vào không đúng cách, cho phép kẻ tấn công chưa được xác thực thực hiện hành vi giả mạo qua mạng.

Nếu khai thác thành công, kẻ tấn công có thể truy cập trái phép một phần thông tin nhạy cảm và chỉnh sửa dữ liệu hệ thống, dù hành vi này chưa gây gián đoạn khả năng truy cập tài nguyên. Trước tính chất nghiêm trọng của sự việc, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) đã chính thức đưa CVE-2026-32201 vào danh sách các lỗ hổng bị khai thác trong thực tế (KEV), đồng thời đưa ra thời hạn chót yêu cầu các tổ chức hoàn tất việc vá lỗi trước ngày 28/4/2026.

Lỗ hổng zero-day thứ hai là CVE-2026-33825, ảnh hưởng đến Microsoft Defender. Đây là lỗ hổng leo thang đặc quyền cho phép kẻ tấn công nâng quyền lên mức SYSTEM. Microsoft đã khắc phục lỗi này trong bản cập nhật Microsoft Defender Antimalware Platform phiên bản 4.18.26050.3011, được phân phối tự động đến các hệ thống. Người dùng cũng có thể cập nhật thủ công thông qua mục bảo mật Windows.

Microsoft ghi nhận Zen Dodd và Yuanpei Xu (Đại học Khoa học và Công nghệ Hoa Trung - HUST), thuộc nhóm Diffract, là những người phát hiện lỗ hổng này.

Ngoài ra, Microsoft cũng đã vá nhiều lỗ hổng thực thi mã từ xa trong bộ ứng dụng Microsoft Office, bao gồm Word và Excel. Các lỗ hổng này có thể bị khai thác khi người dùng mở tài liệu độc hại hoặc thậm chí chỉ xem trước trong Preview Pane. Vì vậy, Microsoft khuyến nghị người dùng cần ưu tiên cập nhật Office sớm, đặc biệt trong môi trường thường xuyên nhận tệp đính kèm.

Bên cạnh Microsoft, nhiều hãng công nghệ khác cũng phát hành bản cập nhật bảo mật trong tháng 4/2026. Adobe cập nhật nhiều sản phẩm như Illustrator, Acrobat, Photoshop và sửa một lỗ hổng zero-day đang bị khai thác. Apache khắc phục lỗ hổng thực thi mã từ xa tồn tại suốt 13 năm trong ActiveMQ Classic. Apple mở rộng cập nhật bảo mật cho các thiết bị iPhone chạy iOS 18 nhằm bảo vệ trước bộ công cụ khai thác DarkSword. Cisco, Fortinet, Google, SAP và nhiều nhà cung cấp khác cũng đồng loạt vá các lỗ hổng nghiêm trọng, trong đó có những lỗi đang bị khai thác ngoài thực tế.

Danh sách đầy đủ các lỗ hổng đã được Microsoft công bố kèm theo mã CVE và mức độ ảnh hưởng, trải rộng trên nhiều thành phần như Windows Kernel, Active Directory, Hyper-V, Remote Desktop, SQL Server và nhiều dịch vụ hệ thống khác.

Người dùng cá nhân và doanh nghiệp được khuyến nghị cập nhật hệ thống ngay lập tức để giảm thiểu rủi ro, đặc biệt với các môi trường sử dụng SharePoint, Office và Defender. Việc vá lỗi kịp thời vẫn là biện pháp quan trọng nhất trước các mối đe dọa zero-day.

Với tần suất các lỗ hổng zero-day tiếp tục xuất hiện, các chuyên gia an ninh mạng nhấn mạnh nên cập nhật bản vá định kỳ và áp dụng các biện pháp bảo vệ bổ sung như tắt Preview Pane trên máy quản trị và bật quy tắc Attack Surface Reduction.