Microsoft Patch Tuesday: Mưa lỗ hổng bảo mật với 165 CVE, một lỗi đang bị khai thác tích cực

Microsoft Patch Tuesday: Mưa lỗ hổng bảo mật với 165 CVE, một lỗi đang bị khai thác tích cực

Microsoft vừa phát hành bản vá lỗi tháng 4 với tổng cộng 165 CVE, bao gồm một lỗ hổng giả mạo trong SharePoint đang bị tấn công thực tế và một lỗi trong Defender đã bị công khai mã khai thác.

Bản vá lỗi kỷ lục của tháng 4

Buổi lễ vá lỗi hàng tháng của Microsoft (Patch Tuesday) tháng này có quy mô khổng lồ với 165 lỗ hổng bảo mật mới (CVE). Đáng chú ý, trong số đó có một lỗ hổng đang bị kẻ tấn công khai thác tích cực trước khi Microsoft kịp tung ra bản sửa.

Lỗ hổng bị khai thác, được đánh mã là CVE-2026-32201, là một lỗi giả mạo (spoofing) nằm trong Microsoft SharePoint Server. Lỗi này xuất phát từ việc xác thực đầu vào không đúng cách, cho phép kẻ tấn công chưa được xác thực thực hiện giả mạo qua mạng. Điều này có thể dẫn đến việc xem thông tin nhạy cảm hoặc thay đổi dữ liệu đã bị lộ.

Mike Walters, chủ tịch và đồng sáng lập của nhà cung cấp giải pháp quản lý bản vá Action1, cho biết: "Bằng cách khai thác lỗi này, kẻ tấn công có thể thao túng cách thông tin được hiển thị cho người dùng, có khả năng lừa họ tin vào nội dung độc hại". Ông cảnh báo rằng lỗi này có thể bị lợi dụng trong các cuộc tấn công lừa đảo (phishing), thao túng dữ liệu trái phép hoặc các chiến dịch kỹ thuật xã hội nhằm xâm nhập sâu hơn vào hệ thống.

Walter nhấn mạnh: "Lỗi này cho phép kẻ tấn công giả mạo niềm tin trên quy mô lớn: những gì trông có vẻ hợp pháp thực chất có thể là một sự lừa dối được tính toán kỹ lưỡng. Nó có thể được dùng để lừa đảo nhân viên, đối tác hoặc khách hàng bằng cách trình bày thông tin giả mạo trong môi trường SharePoint đáng tin cậy".

Microsoft chưa cung cấp chi tiết cụ thể về cách lỗ hổng này đang bị滥用 trong tự nhiên, cũng như ai là người đã phát hiện ra nó.

Sự trỗi dậy của AI trong việc tìm lỗi

Có thể sự gia tăng đột biến này liên quan đến Mythos hoặc một công cụ tìm lỗi AI khác? Khi được hỏi, Microsoft cho biết đợt phát hành hôm nay không phản ánh sự gia tăng đáng kể trong các phát hiện do AI thúc đẩy, mặc dù họ đã ghi nhận một lỗ hổng được tìm thấy bởi một nhà nghiên cứu từ Anthropic sử dụng mô hình Claude.

Tuy nhiên, theo Dustin Childs, người đứng đầu mảng tìm kiếm lỗ hổng tại Zero Day Initiative (ZDI), đây là đợt phát hành CVE hàng tháng lớn thứ hai mà ông từng thấy từ Microsoft. Childs nhận định: "Có nhiều điều chúng ta có thể suy đoán để biện minh cho quy mô này, nhưng nếu Microsoft giống như các chương trình khác (bao gồm cả chương trình của chúng tôi), họ có khả năng đang chứng kiến sự gia tăng trong số lượng báo cáo lỗi được tìm thấy bởi các công cụ AI".

Lỗi Microsoft Defender bị công khai

Mặc dù CVE-2026-32201 là lỗ hổng duy nhất trong số 165 CVE mới được liệt kê là đang bị khai thác tích cực tại thời điểm phát hành, nhưng có một lỗ hổng khác đã được biết đến rộng rãi công chúng.

Đó là CVE-2026-33825, một lỗi nâng cao đặc quyền (elevation of privilege) trong Microsoft Defender. Mặc dù Microsoft không đề cập đến điều này trong bản tư vấn, các công ty an ninh mạng khác chỉ ra rằng lỗi Defender này khớp với mã khai thác có tên BlueHammer, được công bố trên GitHub vào đầu tháng này bởi một nhà nghiên cứu thất vọng tự xưng là "Chaotic Eclipse".

Hình như người này không hài lòng với quy trình công bố lỗi của Microsoft. "Tôi chưa bao giờ muốn mở lại blog và tài khoản github mới để tung mã... Nhưng ai đó đã vi phạm thỏa thuận của chúng tôi và khiến tôi mất nhà không còn gì...", Chaotic Eclipse viết vào ngày 2 tháng 4.

Họ không phải là người đầu tiên chỉ trích quy trình báo cáo lỗi và phản hồi của Microsoft đối với các nhà nghiên cứu.

Dustin Childs bình luận: "Tôi sẽ không bình luận thêm về những lời nhận xét của nhà nghiên cứu về việc làm việc với Microsoft. Tôi chỉ vui vì họ đang cung cấp bản sửa lỗi cho lỗ hổng này. Nếu bạn dựa vào Defender, hãy kiểm tra và triển khai bản vá này nhanh chóng".