Ngày Patch Tuesday vốn luôn là thời điểm bận rộn, khi Microsoft phát hành các bản cập nhật bảo mật định kỳ cho Windows. Tuy nhiên, tháng này tình hình nghiêm trọng hơn thường lệ khi tin tặc hoạt động đặc biệt mạnh mẽ. Thay vì chờ đến “Exploit Wednesday” – thời điểm các lỗ hổng được xác nhận và phân tích đầy đủ – các tác nhân đe dọa đã chủ động khai thác ít nhất 6 lỗ hổng zero-day của Windows trong các cuộc tấn công đang diễn ra.
Thông điệp từ Microsoft rất rõ ràng: Windows đang trở thành mục tiêu tấn công trực diện. Và thông điệp dành cho người dùng, doanh nghiệp cũng không kém phần dứt khoát: cần cập nhật càng sớm càng tốt. Dù việc triển khai bản vá luôn phải cân nhắc rủi ro, ưu tiên và quy trình quản lý thay đổi, thì với 6 lỗ hổng zero-day đang bị khai thác tích cực, tư duy “vá ngay khi có thể” là hoàn toàn hợp lý đối với phần lớn hệ thống.
6 lỗ hổng zero-day bị khai thác tích cực
Thoạt nhìn, bản vá Patch Tuesday tháng Hai có vẻ không đáng lo: chưa đến 60 lỗ hổng được khắc phục, thấp hơn nhiều so với mức trung bình các năm gần đây, và chỉ có hai lỗ hổng được xếp hạng nghiêm trọng. Tuy nhiên, các con số này dễ gây cảm giác chủ quan. Trước đó, bản vá tháng 10/2025 với gần 200 lỗ hổng từng thu hút nhiều sự chú ý, nhưng số lượng không phải là tất cả – đặc biệt khi zero-day xuất hiện.
Ảnh minh họa
“Sự hiện diện của 6 lỗ hổng zero-day khiến bản phát hành này trở nên cấp bách hơn rất nhiều so với những gì các con số thể hiện,” ông Jack Bicer, Giám đốc nghiên cứu lỗ hổng tại Action1, nhận định. Để so sánh, trong suốt năm 2025, Microsoft chỉ công bố tổng cộng 41 lỗ hổng zero-day trong các bản vá Patch Tuesday.
Các chuyên gia an ninh mạng đồng loạt khuyến nghị tổ chức và người dùng cập nhật ngay. Ông Kev Breen, Giám đốc cấp cao về nghiên cứu mối đe dọa tại Immersive, cho biết: “Ngoài việc Microsoft xác nhận các lỗ hổng này đang bị khai thác, hiện chưa có thêm thông tin về TTP hay dấu hiệu xâm phạm cụ thể. Điều đó đồng nghĩa với việc vá lỗi là biện pháp phòng thủ duy nhất ở thời điểm này".
Nguy cơ leo thang đặc quyền và kiểm soát toàn hệ thống
Trong số 6 lỗ hổng zero-day, 3 lỗ hổng nghiêm trọng nhất đã được phân tích chi tiết trước đó, bao gồm CVE-2026-21510, CVE-2026-21513 và CVE-2026-21514. Ba lỗ hổng còn lại cũng không kém phần nguy hiểm, đáng chú ý là CVE-2026-21519 ảnh hưởng đến Desktop Windows Manager và CVE-2026-21533 liên quan đến dịch vụ Remote Desktop của Windows – cả hai đều cho phép leo thang đặc quyền.
“Đây là các lỗ hổng leo thang đặc quyền cục bộ, nghĩa là kẻ tấn công phải có quyền truy cập ban đầu vào hệ thống,” ông Breen cảnh báo. Dù điều này nghe có vẻ là tin tốt, nhưng trên thực tế, quyền truy cập ban đầu có thể đến từ tệp đính kèm độc hại, một lỗ hổng thực thi mã từ xa khác, hoặc thông qua di chuyển ngang từ một máy đã bị xâm nhập. “Một khi đã có mặt trên hệ thống, kẻ tấn công có thể tận dụng các lỗ hổng này để nâng quyền lên mức SYSTEM,” ông nói. Ở cấp độ này, tin tặc có thể vô hiệu hóa các công cụ bảo mật, cài đặt thêm mã độc và trong kịch bản xấu nhất là chiếm quyền kiểm soát toàn bộ miền.
Theo ông Chris Goettl, Phó chủ tịch quản lý sản phẩm bảo mật tại Ivanti, mức đánh giá “quan trọng” mà Microsoft gán cho hai lỗ hổng nói trên vẫn chưa phản ánh đúng rủi ro thực tế. “Ưu tiên dựa trên rủi ro cho thấy các lỗ hổng này cần được xử lý ở mức nghiêm trọng cao hơn so với đánh giá của nhà cung cấp hoặc điểm CVSS,” ông nhận định. Các lỗ hổng leo thang đặc quyền trong những thành phần cốt lõi của Windows thường dẫn đến kịch bản mà giới an ninh mạng gọi là “game over” – hệ thống bị chiếm quyền hoàn toàn.
Microsoft xác nhận các cuộc tấn công
Lỗ hổng từ chối dịch vụ cũng không thể xem nhẹ
Lỗ hổng zero-day cuối cùng, CVE-2026-21525, ảnh hưởng đến Trình quản lý kết nối truy cập từ xa của Windows và cho phép tấn công từ chối dịch vụ. Ông Mike Walters, đồng sáng lập Action1, cảnh báo rằng một tác nhân cục bộ đơn giản cũng có thể làm gián đoạn các dịch vụ mạng quan trọng mà không cần cảnh báo trước. Việc Microsoft xác nhận đã phát hiện khai thác thực tế cho thấy lỗ hổng này đã bị lạm dụng, dù chưa có nhiều chi tiết kỹ thuật được công bố.
“Điều đáng lo ngại là việc khai thác không yêu cầu đặc quyền cao hay tương tác của người dùng,” Walters nói. “Một kẻ tấn công với quyền truy cập cục bộ cơ bản có thể liên tục kích hoạt lỗ hổng để gây gián đoạn kéo dài.” Hệ quả có thể bao gồm mất kết nối từ xa, gián đoạn VPN, thậm chí bị lợi dụng như một biện pháp đánh lạc hướng trong các chiến dịch tấn công lớn hơn.
Ông Breen cũng lưu ý rằng các lỗ hổng từ chối dịch vụ, dù thường bị xem nhẹ, lại hay xuất hiện trong chuỗi tấn công phức tạp. “Nhật ký sự kiện Windows về các dịch vụ bị dừng đột ngột là nguồn dữ liệu rất giá trị cho các nhóm săn tìm mối đe dọa,” ông nhấn mạnh.
Cập nhật ngay, không chần chừ
Microsoft đã xác nhận các cuộc tấn công đang nhắm vào toàn bộ 6 lỗ hổng zero-day nói trên và hiện đã cung cấp bản vá thông qua bản cập nhật bảo mật Windows mới nhất. Trong bối cảnh này, việc trì hoãn cập nhật đồng nghĩa với việc chấp nhận rủi ro không cần thiết. Tăng cường phòng thủ và triển khai bản vá càng sớm càng tốt là lựa chọn an toàn và cấp thiết nhất lúc này.
