Microsoft Patch Tuesday: 30 lỗ hổng nghiêm trọng và sự trỗi dậy của AI trong việc săn lỗi

Microsoft vừa phát hành bản cập nhật bảo mật hàng tháng (Patch Tuesday) với tổng cộng 137 bản vá cho các lỗ hổng Common Vulnerabilities and Exposures (CVE). Mặc dù không có lỗ hổng nào được xác nhận là đang bị tin tặc khai thác trong tự nhiên (zero-day), nhưng gã khổng lồ phần mềm đã đánh giá 30 trong số đó là "nghiêm trọng", với 14 lỗi có điểm số CVSS từ 9.0 trở lên, bao gồm cả một lỗi đạt điểm tuyệt đối 10.0.

Một điểm nhấn quan trọng trong đợt cập nhật này là sự xác nhận về việc Microsoft đang sử dụng trí tuệ nhân tạo (AI) để tìm kiếm lỗi. Tom Gallagher, Phó chủ tịch Kỹ thuật tại Trung tâm Phản hồi Bảo mật Microsoft (MSRC), cho biết các bản vá trong tương lai sẽ tiếp tục có quy mô lớn hơn. Hệ thống săn lỗi bí mật mang tên MDASH của Microsoft đã phát hiện ra 16 trong số các lỗ hổng được sửa chữa trong tháng này.

Dưới đây là những lỗ hổng đáng chú ý nhất mà các quản trị viên cần ưu tiên xử lý:

CVE-2026-41096: Lỗi RCE trong Windows DNS Client (Điểm: 9.8)

Đây là lỗ hổng thực thi mã từ xa (Remote Code Execution) nghiêm trọng ảnh hưởng đến Windows DNS Client. Nguyên nhân là do tràn bộ nhớ đệm dựa trên heap (heap-based buffer overflow). Điểm nguy hiểm của lỗi này là kẻ tấn công không cần xác thực hay tương tác của người dùng; chúng chỉ cần gửi một phản hồi DNS được chế tạo đặc biệt đến hệ thống bị lỗi.

Dustin Childs từ Zero Day Initiative cảnh báo rằng bề mặt tấn công là cực lớn vì DNS Client chạy trên hầu hết mọi máy tính Windows. Kẻ tấn công có thể chèn đứng giữa (MitM) hoặc sử dụng máy chủ DNS giả mạo để chiếm quyền kiểm soát toàn bộ doanh nghiệp.

CVE-2026-42898: Lỗi RCE trong Microsoft Dynamics 365 (Điểm: 9.9)

Lỗi này đạt mức độ nghiêm trọng gần như hoàn hảo (9.9) và ảnh hưởng đến các hệ thống Microsoft Dynamics 365 tại chỗ (on-premises). Bất kỳ người dùng nào đã được xác thực đều có thể kích hoạt lỗ hổng này mà không cần quyền quản trị viên.

Kẻ tấn công có thể sửa đổi trạng thái đã lưu của phiên quy trình trong Dynamics CRM, khiến máy chủ xử lý dữ liệu độc hại và thực thi mã. Do khả năng thay đổi phạm vi ảnh hưởng (scope change), lỗi này có thể gây rủi ro nghiêm trọng cho hệ thống khác ngoài thành phần bị lỗi.

CVE-2026-41089: Lỗi trong Windows Netlogon (Điểm: 9.8)

Lỗi tràn bộ nhớ đệm dựa trên stack (stack-based buffer overflow) này nằm trong dịch vụ Windows Netlogon. Nó cho phép kẻ tấn công từ xa thực thi mã trên các máy chủ đóng vai trò Bộ điều khiển miền (Domain Controller) mà không cần thông tin đăng nhập.

Childs nhận định đây là lỗi có tác động cao nhất cần được vá ngay lập tức. Một khi Bộ điều khiển miền bị xâm phạm, toàn bộ miền mạng của doanh nghiệp sẽ rơi vào tay kẻ tấn công. Lỗi này cũng có khả năng "wormable" (tự lan truyền).

CVE-2026-42826: Lỗi trong Azure DevOps (Điểm: 10.0)

Lỗi duy nhất đạt điểm 10.0 trong đợt này nằm trong Azure DevOps. Tuy nhiên, đây là tin vui cho người dùng vì Microsoft cho biết họ đã hoàn toàn khắc phục rủi ro này. Không có hành động nào cần thiết từ phía người dùng, và CVE này chỉ được công bố để tăng tính minh bạch.

Với số lượng lớn các bản vá và mức độ nghiêm trọng cao, các quản trị viên hệ thống Microsoft được khuyên nên ưu tiên áp dụng các bản vá bảo mật, đặc biệt là cho các thành phần nhạy cảm như DNS và Domain Controller.