Bản vá lỗi của Microsoft thất bại: Lỗ hổng Windows mới xuất hiện và đang bị tấn công

Microsoft và Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra cảnh báo về việc tin tặc đang tích cực khai thác một lỗ hổng bảo mật nghiêm trọng trên Windows. Lỗ hổng này, được đánh dấu là CVE-2026-32202, là một lỗi zero-click (không cần tương tác của người dùng) có khả năng lộ thông tin nhạy cảm trên các hệ thống bị ảnh hưởng.

Mặc dù chưa xác định được chính xác nhóm đứng sau các cuộc tấn công mới nhất này, nhưng các chuyên gia cho rằng rất có thể liên quan đến các nhóm hacker được nhà nước Nga bảo trợ. Nguyên nhân sâu xa của vấn đề nằm ở chỗ bản vá lỗi mà Microsoft phát hành trước đó cho một lỗ hổng khác chưa thực sự triệt để.

Lỗ hổng xác thực trong Windows Shell

CVE-2026-32202 là một lỗ hổng ép buộc xác thực (authentication coercion) nằm trong Windows Shell. Kẻ tấn công có thể tận dụng lỗi này thông qua việc giả mạo mạng để lộ các thông tin nhạy cảm trên hệ thống bị hại.

"Kẻ tấn công khai thác thành công lỗ hổng này có thể xem một số thông tin nhạy cảm", Microsoft cảnh báo khi công bố CVE vào ngày 14/4. Vào thứ Hai vừa qua, gã khổng lồ Windows đã đánh dấu lỗi này là "đã phát hiện khai thác". Ngay hôm sau, CISA đã thêm CVE-2026-32202 vào danh sách các lỗ hổng đang bị khai thác (Known Exploited Vulnerabilities), và đặt ra hạn chót ngày 12/5 cho các cơ quan liên bang để khắc phục sự cố.

Hậu quả của bản vá lỗi chưa hoàn thiện

Microsoft đã ghi nhận công lao phát hiện và báo cáo CVE-2026-32202 cho nhà nghiên cứu bảo mật cấp cao của Akamai, Maor Dahan. Trong bài phân tích của mình, Dahan chỉ ra rằng lỗ hổng mới này thực chất là kết quả của một bản vá lỗi chưa hoàn chỉnh cho một lỗ hổng trước đó là CVE-2026-21510.

Vào tháng 2, Microsoft đã cố gắng vá lỗi CVE-2026-21510. Đây là một trong sáu lỗ hổng zero-day đang bị khai thác tích cực được công bố trong đợt Patch Tuesday tháng đó. Akamai đã phát hiện nhóm APT28 của Nga (còn được gọi là Fancy Bear) đang khai thác lỗ hổng bảo mật này vào tháng 1.

Theo Akamai, trích dẫn Đội phản ứng khẩn cấp máy tính của Ukraine (CERT-UA), APT28 đã khai thác CVE-2026-21510 trong các cuộc tấn công nhằm vào Ukraine và các quốc gia Liên minh Châu Âu (EU).

Các cuộc tấn công này bắt đầu bằng một email lừa đảo (phishing), mạo danh là trung tâm thủy văn khí tượng của Ukraine, chứa một tệp LNK đã bị vũ khí hóa để khai thác một lỗ hổng khác, CVE-2026-21513. Bằng cách xâu chuỗi CVE-2026-21513 với CVE-2026-21510, các gián điệp Nga đã vượt qua các tính năng bảo mật của Microsoft bao gồm Defender SmartScreen và thực thi mã độc từ xa trên máy tính của nạn nhân.

Microsoft đã sửa cả hai CVE này trong đợt Patch Tuesday tháng 2. Tuy nhiên, Dahan cho biết: "Mặc dù bản vá của Microsoft đã ngăn chặn thành công việc thực thi mã từ xa (RCE) và việc vượt qua SmartScreen ban đầu, nó lại để lại một lỗ hổng ép buộc xác thực zero-click".

Nguy cơ đánh cắp thông tin đăng nhập

Dahan và các đồng nghiệp tại Akamai đã phát hiện ra CVE-2026-32202 trong quá trình kiểm tra các bản vá tháng 2.

"Khi kiểm tra bản vá, chúng tôi nhận thấy một điều thú vị: Máy nạn nhân vẫn đang xác thực với máy chủ của kẻ tấn công", ông nói.

Như Dahan giải thích, lỗ hổng bảo mật này có thể bị lạm dụng để gửi băm Net-NTLMv2 (dữ liệu xác thực) của nạn nhân cho kẻ tấn công. Từ đó, kẻ xâm nhập kỹ thuật số có thể xác thực dưới tư cách người dùng, đánh cắp dữ liệu nhạy cảm và do thám trên mạng của nạn nhân.

"Khoảng trống giữa việc phân giải đường dẫn và xác minh độ tin cậy đã để lại một vectơ đánh cắp thông tin đăng nhập zero-click thông qua các tệp LNK được phân tích tự động", ông viết.

Với việc CISA đã đưa ra cảnh báo chính thức, người dùng và quản trị viên hệ thống Windows được khuyến cáo cập nhật bản vá mới nhất càng sớm càng tốt để ngăn chặn nguy cơ bị tấn công.