Microsoft Vá 114 Lỗ hổng Windows trong bản cập nhật tháng 1 năm 2026, một lỗ hổng đang bị khai thác tích cực

Vào thứ Ba, Microsoft đã phát hành bản cập nhật bảo mật đầu tiên cho năm 2026, xử lý 114 lỗ hổng bảo mật, trong đó có một lỗ hổng được cho là đang bị khai thác tích cực trong thực tế. Trong số 114 lỗ hổng, 8 lỗi được đánh giá là Critical và 106 lỗi được đánh giá là Important. Có tới 58 lỗ hổng được phân loại là privilege escalation, tiếp theo là 22 lỗi information disclosure, 21 lỗi remote code.

Minh họa bản cập nhật bảo mật của Microsoft

Vào thứ Ba, Microsoft đã phát hành bản cập nhật bảo mật đầu tiên cho năm 2026, xử lý 114 lỗ hổng bảo mật, bao gồm một lỗ hổng được cho là đang bị khai thác tích cực trong thực tế.

Trong số 114 lỗ hổng, 8 lỗi được đánh giá là Critical và 106 lỗi được đánh giá là Important. Có tới 58 lỗ hổng được phân loại là privilege escalation, tiếp theo là 22 lỗi information disclosure, 21 lỗi remote code execution và 5 lỗi spoofing. Theo dữ liệu thu thập bởi Fortra, bản cập nhật này đánh dấu Patch Tuesday lớn thứ ba trong tháng 1, chỉ sau tháng 1 năm 2025 và tháng 1 năm 2022.

Các bản vá này bổ sung cho hai lỗ hổng bảo mật mà Microsoft đã xử lý trong trình duyệt Edge của mình kể từ khi phát hành bản cập nhật Patch Tuesday tháng 12 năm 2025, bao gồm một lỗ hổng spoofing trong ứng dụng Android của họ (CVE-2025-65046, 3.1) và một trường hợp không đủ thực thi chính sách trong thẻ WebView của Chromium (CVE-2026-0628, CVSS score: 8.8).

Lỗ hổng đang bị khai thác trong thực tế là CVE-2026-20805 (CVSS score: 5.5), một lỗ hổng information disclosure ảnh hưởng đến Desktop Window Manager. Microsoft Threat Intelligence Center (MTIC) và Microsoft Security Response Center (MSRC) được ghi nhận đã xác định và báo cáo lỗ hổng này.

"Việc tiết lộ thông tin nhạy cảm cho một tác nhân trái phép trong Desktop Windows Manager (DWM) cho phép một kẻ tấn công được ủy quyền tiết lộ thông tin cục bộ," Microsoft cho biết trong một thông báo. "Loại thông tin có thể bị tiết lộ nếu kẻ tấn công khai thác thành công lỗ hổng này là một địa chỉ phân đoạn từ cổng ALPC từ xa, đó là bộ nhớ user-mode."

Hiện tại, không có chi tiết về cách thức lỗ hổng đang bị khai thác, quy mô của những nỗ lực đó và ai có thể đứng đằng sau hoạt động này.

"DWM chịu trách nhiệm vẽ mọi thứ trên màn hình của hệ thống Windows, điều này có nghĩa là nó cung cấp sự kết hợp hấp dẫn giữa quyền truy cập đặc quyền và tính sẵn có phổ biến, vì hầu hết mọi tiến trình đều có thể cần hiển thị thứ gì đó," Adam Barnett, kỹ sư phần mềm trưởng tại Rapid7, cho biết trong một tuyên bố. "Trong trường hợp này, việc khai thác dẫn đến tiết lộ không đúng cách địa chỉ phân đoạn cổng ALPC, đây là một phần bộ nhớ user-mode nơi các thành phần Windows phối hợp các hành động khác nhau giữa chúng."

Microsoft trước đây đã xử lý một lỗ hổng zero-day đang bị khai thác tích cực trong DWM vào tháng 5 năm 2024 (CVE-2024-30051, CVSS score: 7.8), được mô tả là một lỗ hổng privilege escalation đã bị nhiều tác nhân đe dọa lạm dụng, liên quan đến việc phân phối QakBot và các họ phần mềm độc hại khác. Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, gọi DWM là "frequent flyer" trong các bản vá Patch Tuesday, với 20 CVEs đã được vá trong thư viện này kể từ năm 2022.

Jack Bicer, giám đốc nghiên cứu lỗ hổng tại Action1, cho biết lỗ hổng này có thể bị một kẻ tấn công được xác thực cục bộ khai thác để tiết lộ thông tin, vô hiệu hóa address space layout randomization (ASLR) và các biện pháp phòng thủ khác.

"Các lỗ hổng có bản chất này thường được sử dụng để làm suy yếu Address Space Layout Randomization (ASLR), một kiểm soát bảo mật hệ điều hành cốt lõi được thiết kế để bảo vệ chống lại buffer overflows và các khai thác thao tác bộ nhớ khác," Kev Breen, giám đốc cấp cao về nghiên cứu mối đe dọa mạng tại Immersive, nói với The Hacker News.

"Bằng cách tiết lộ nơi mã nằm trong bộ nhớ, lỗ hổng này có thể được kết hợp với một lỗ hổng code execution riêng biệt, biến một khai thác phức tạp và không đáng tin cậy thành một cuộc tấn công thực tế và có thể lặp lại."

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) kể từ đó đã thêm lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) của mình, yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản sửa lỗi mới nhất trước ngày 3 tháng 2 năm 2026.

Một lỗ hổng đáng chú ý khác liên quan đến việc bypass tính năng bảo mật ảnh hưởng đến Secure Boot Certificate Expiration (CVE-2026-21265, CVSS score: 6.4) có thể cho phép kẻ tấn công phá hoại một cơ chế bảo mật quan trọng đảm bảo rằng các module firmware đến từ một nguồn đáng tin cậy và ngăn chặn phần mềm độc hại chạy trong quá trình khởi động.

Vào tháng 11 năm 2025, Microsoft đã thông báo rằng họ sẽ hết hạn ba chứng chỉ Windows Secure Boot được cấp vào năm 2011, có hiệu lực từ tháng 6 năm 2026, kêu gọi khách hàng cập nhật lên các phiên bản tương đương năm 2023:

Microsoft Corporation KEK CA 2011 (Tháng 6 năm 2026) - Microsoft Corporation KEK 2K CA 2023 (để ký các bản cập nhật cho DB và DBX)
Microsoft Windows Production PCA 2011 (Tháng 10 năm 2026) - Windows UEFI CA 2023 (để ký bộ tải khởi động Windows)
Microsoft UEFI CA 2011 (Tháng 6 năm 2026) - Microsoft UEFI CA 2023 (để ký các bộ tải khởi động của bên thứ ba) và Microsoft Option ROM UEFI CA 2023 (để ký các Option ROM của bên thứ ba)

"Các chứng chỉ Secure Boot được sử dụng bởi hầu hết các thiết bị Windows sẽ hết hạn bắt đầu từ tháng 6 năm 2026. Điều này có thể ảnh hưởng đến khả năng khởi động an toàn của một số thiết bị cá nhân và doanh nghiệp nếu không được cập nhật kịp thời," Microsoft cho biết. "Để tránh gián đoạn, chúng tôi khuyên bạn nên xem xét hướng dẫn và thực hiện hành động để cập nhật chứng chỉ trước."

Nhà sản xuất Windows cũng chỉ ra rằng bản cập nhật mới nhất loại bỏ trình điều khiển Agere Soft Modem "agrsm64.sys" và "agrsm.sys" được cài đặt sẵn trong hệ điều hành. Các trình điều khiển của bên thứ ba này dễ bị tổn thương bởi một lỗ hổng local privilege escalation đã tồn tại hai năm (CVE-2023-31096, CVSS score: 7.8) có thể cho phép kẻ tấn công giành được quyền SYSTEM.

Vào tháng 10 năm 2025, Microsoft đã thực hiện các bước để loại bỏ một trình điều khiển Agere Modem khác có tên "ltmdm64.sys" sau khi phát hiện khai thác in-the-wild một lỗ hổng privilege escalation (CVE-2025-24990, CVSS score: 7.8) có thể cho phép kẻ tấn công giành được quyền quản trị.

Một ưu tiên cao khác là CVE-2026-20876 (CVSS score: 6.7), một lỗ hổng privilege escalation được đánh giá Critical trong Windows Virtualization-Based Security (VBS) Enclave, cho phép kẻ tấn công giành được quyền Virtual Trust Level 2 (VTL2), và lợi dụng nó để phá hoại các kiểm soát bảo mật, thiết lập khả năng duy trì lâu dài và trốn tránh phát hiện.

"Nó phá vỡ ranh giới bảo mật được thiết kế để bảo vệ chính Windows, cho phép kẻ tấn công leo vào một trong những lớp thực thi đáng tin cậy nhất của hệ thống," Mike Walters, chủ tịch và đồng sáng lập của Action1, cho biết.

"Mặc dù việc khai thác đòi hỏi đặc quyền cao, nhưng tác động rất nghiêm trọng vì nó làm tổn hại đến chính bảo mật dựa trên ảo hóa. Những kẻ tấn công đã có chỗ đứng có thể sử dụng lỗ hổng này để đánh bại các biện pháp phòng thủ tiên tiến, khiến việc vá lỗi kịp thời trở nên cần thiết để duy trì niềm tin vào các ranh giới bảo mật của Windows."