Microsoft vá lỗ hổng Zero-day của SharePoint và 160 lỗi bảo mật khác

Microsoft vá lỗ hổng Zero-day của SharePoint và 160 lỗi bảo mật khác

Microsoft vừa phát hành bản cập nhật Patch Tuesday tháng 4/2026, khắc phục tổng cộng 165 lỗ hổng bảo mật. Điểm nổi bật nhất là việc vá một lỗ hổng zero-day trên SharePoint Server đang bị tin tặc khai thác trong thực tế.

Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-32201. Đây là vấn đề giả mạo (spoofing) xuất phát từ việc xác thực đầu vào không đúng cách trong Microsoft Office SharePoint. Microsoft đánh giá mức độ nghiêm trọng của lỗi này là "Quan trọng" với điểm số CVSS là 6.5.

Tấn công Ransomware vào SharePoint

Theo mô tả từ Microsoft: "Việc xác thực đầu vào không đúng cách trong Microsoft Office SharePoint cho phép kẻ tấn công chưa được cấp quyền thực hiện giả mạo qua mạng". Kẻ tấn công có thể tận dụng sơ hở này để truy cập vào thông tin nhạy cảm và thay đổi dữ liệu đó.

Hiện tại, vẫn chưa rõ ai đứng sau các cuộc tấn công zero-day nhắm vào CVE-2026-32201 cũng như động cơ của họ. Tại thời điểm viết bài này, chưa có nhiều thông tin chi tiết được công bố và Microsoft cũng chưa tiết lộ ai là người đã báo cáo lỗ hổng này.

Tuy nhiên, dựa trên mô tả ngắn gọn từ nhà sản xuất, các chuyên gia nhận định rằng CVE-2026-32201 có thể đang được xâu chuỗi với các lỗ hổng khác trong các cuộc tấn công. Các lỗ hổng trên SharePoint thường xuyên bị khai thác trong thực tế; danh sách Các lỗ hổng đã bị khai thác (KEV) của CISA hiện đang bao gồm 10 lỗi của SharePoint.

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã nhanh chóng thêm CVE-2026-32201 vào danh sách KEV. Các cơ quan liên bang của Mỹ được chỉ đạo phải áp dụng bản vá trước ngày 28 tháng 4.

Các lỗ hổng đáng chú ý khác

Trong số các lỗ hổng còn lại được Microsoft vá trong đợt cập nhật này, có 19 lỗi được đánh giá là "khả năng bị khai thác cao", cho thấy chúng có thể trở thành mục tiêu trong các cuộc tấn công sắp tới.

Một trong số đó là CVE-2026-33825, một lỗi leo thang đặc quyền (privilege-escalation) trong Microsoft Defender. Gã khổng lồ công nghệ cho biết lỗi này đã bị công khai trước khi bản vá được phát hành.

Ngoài ra, các lỗ hổng bảo mật trong các thành phần của Windows như Boot Loader, Active Directory, Remote Desktop, Hello, Storage Space Controllers, Search, TDI Translation Driver, BitLocker, Management Console, TCP/IP, Common Log File System Driver, UPnP Device Host, COM, Shell, Function Discovery Service và Desktop Window Manager cũng có khả năng cao bị khai thác trong tương lai.

Satnam Narang, kỹ sư nghiên cứu cao cấp tại Tenable, cho biết đây là đợt Patch Tuesday lớn thứ hai từ trước đến nay, chỉ kém một chút so với kỷ lục được thiết lập vào tháng 10 năm 2025.

Song song với Microsoft, Adobe cũng đã phát hành bản vá cho hơn 50 lỗ hổng bảo mật trải rộng trên 11 sản phẩm của mình trong đợt cập nhật lần này.