Vào thứ Ba, Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục 59 lỗ hổng trên các phần mềm của hãng, trong đó có sáu lỗ hổng được cho là đang bị khai thác trong thực tế.
Trong số 59 lỗ hổng, năm được đánh giá là Critical, 52 là Important và hai là Moderate về mức độ nghiêm trọng. Hai mươi lăm lỗ hổng đã được vá được phân loại là privilege escalation, tiếp theo là remote code execution (12), spoofing (7), information disclosure (6), security feature bypass (5), denial-of-service (3), và cross-site scripting (1).
Đáng chú ý là các bản vá này được bổ sung cho ba lỗ hổng bảo mật mà Microsoft đã khắc phục trong trình duyệt Edge của mình kể từ khi phát hành bản cập nhật Patch Tuesday tháng 1 năm 2026, bao gồm một lỗ hổng Moderate ảnh hưởng đến trình duyệt Edge dành cho Android (CVE-2026-0391, điểm CVSS: 6.5) có thể cho phép kẻ tấn công trái phép thực hiện spoofing qua mạng bằng cách lợi dụng "sự xuyên tạc giao diện người dùng về thông tin quan trọng".
Lỗ hổng đang bị khai thác tích cực
Đứng đầu danh sách các bản cập nhật của tháng này là sáu lỗ hổng đã được gắn cờ là đang bị khai thác tích cực -
- CVE-2026-21510 (CVSS score: 8.8) - Lỗi cơ chế bảo vệ trong Windows Shell cho phép kẻ tấn công trái phép vượt qua tính năng bảo mật qua mạng.
- CVE-2026-21513 (CVSS score: 8.8) - Lỗi cơ chế bảo vệ trong MSHTML Framework cho phép kẻ tấn công trái phép vượt qua tính năng bảo mật qua mạng.
- CVE-2026-21514 (CVSS score: 7.8) - Sự phụ thuộc vào các đầu vào không đáng tin cậy trong quyết định bảo mật của Microsoft Office Word cho phép kẻ tấn công trái phép vượt qua tính năng bảo mật cục bộ.
- CVE-2026-21519 (CVSS score: 7.8) - Lỗi truy cập tài nguyên bằng kiểu không tương thích ('type confusion') trong Desktop Window Manager cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền cục bộ.
- CVE-2026-21525 (CVSS score: 6.2) - Lỗi null pointer dereference trong Windows Remote Access Connection Manager cho phép kẻ tấn công trái phép từ chối dịch vụ cục bộ.
- CVE-2026-21533 (CVSS score: 7.8) - Lỗi quản lý đặc quyền không đúng cách trong Windows Remote Desktop cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền cục bộ.
Các nhóm bảo mật của Microsoft và Google Threat Intelligence Group (GTIG) đã được ghi nhận vì phát hiện và báo cáo ba lỗ hổng đầu tiên, vốn đã được liệt kê là công khai tại thời điểm phát hành. Hiện tại không có thông tin chi tiết về cách các lỗ hổng đang bị khai thác và liệu chúng có được vũ khí hóa như một phần của cùng một chiến dịch hay không.
"CVE-2026-21513 là một lỗ hổng security feature bypass trong Microsoft MSHTML Framework, một thành phần cốt lõi được Windows và nhiều ứng dụng sử dụng để hiển thị nội dung HTML," Jack Bicer, giám đốc nghiên cứu lỗ hổng tại Action1, cho biết. "Nó gây ra bởi một lỗi cơ chế bảo vệ cho phép kẻ tấn công bỏ qua các lời nhắc thực thi khi người dùng tương tác với các tệp độc hại. Một tệp được tạo ra có thể âm thầm bỏ qua các lời nhắc bảo mật của Windows và kích hoạt các hành động nguy hiểm chỉ bằng một cú nhấp chuột."
Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, cho biết CVE-2026-21513 và CVE-2026-21514 có "nhiều điểm tương đồng" với CVE-2026-21510, sự khác biệt chính là CVE-2026-21513 cũng có thể bị exploit bằng cách sử dụng tệp HTML, trong khi CVE-2026-21514 chỉ có thể bị exploit bằng cách sử dụng tệp Microsoft Office.
Đối với CVE-2026-21525, nó được liên kết với một zero-day mà dịch vụ 0patch của ACROS Security cho biết đã phát hiện vào tháng 12 năm 2025 trong khi điều tra một lỗ hổng liên quan khác trong cùng thành phần (CVE-2025-59230).
"Những lỗ hổng này [CVE-2026-21519 và CVE-2026-21533] là các lỗ hổng local privilege escalation, có nghĩa là kẻ tấn công phải giành được quyền truy cập vào một máy chủ dễ bị tổn thương," Kev Breen, giám đốc cấp cao về nghiên cứu mối đe dọa mạng tại Immersive, nói với The Hacker News qua email. "Điều này có thể xảy ra thông qua một tệp đính kèm độc hại, một lỗ hổng remote code execution hoặc di chuyển ngang từ một hệ thống bị xâm nhập khác."
"Khi đã ở trên máy chủ, kẻ tấn công có thể sử dụng các lỗ hổng escalation này để nâng cao đặc quyền lên SYSTEM. Với mức độ truy cập này, một threat actor có thể vô hiệu hóa các công cụ bảo mật, triển khai thêm phần mềm độc hại, hoặc, trong những trường hợp xấu nhất, truy cập các bí mật hoặc thông tin xác thực có thể dẫn đến việc kiểm soát toàn bộ miền."
Sự phát triển này đã thúc đẩy U.S. Cybersecurity and Infrastructure Security Agency (CISA) thêm sáu lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) của họ, yêu cầu các cơ quan Federal Civilian Executive Branch (FCEB) áp dụng các bản sửa lỗi trước ngày 3 tháng 3 năm 2026.
Bản cập nhật cũng trùng hợp với việc Microsoft triển khai các chứng chỉ Secure Boot đã cập nhật để thay thế các chứng chỉ gốc năm 2011 sẽ hết hạn vào cuối tháng 6 năm 2026. Các chứng chỉ mới sẽ được cài đặt thông qua quy trình cập nhật Windows hàng tháng thông thường mà không cần bất kỳ hành động bổ sung nào.
"Nếu một thiết bị không nhận được các chứng chỉ Secure Boot mới trước khi các chứng chỉ năm 2011 hết hạn, PC vẫn sẽ hoạt động bình thường và phần mềm hiện có sẽ tiếp tục chạy," gã khổng lồ công nghệ cho biết. "Tuy nhiên, thiết bị sẽ chuyển sang trạng thái bảo mật suy giảm, hạn chế khả năng nhận các biện pháp bảo vệ cấp boot trong tương lai."
"Khi các lỗ hổng cấp boot mới được phát hiện, các hệ thống bị ảnh hưởng ngày càng trở nên dễ bị tấn công hơn vì chúng không còn có thể cài đặt các biện pháp giảm thiểu mới. Theo thời gian, điều này cũng có thể dẫn đến các vấn đề tương thích, vì các hệ điều hành, firmware, phần cứng hoặc phần mềm phụ thuộc Secure Boot mới hơn có thể không tải được."
Đồng thời, công ty cho biết họ cũng đang tăng cường các biện pháp bảo vệ mặc định trong Windows thông qua hai sáng kiến bảo mật, Windows Baseline Security Mode và User Transparency and Consent. Các bản cập nhật này nằm trong phạm vi của Secure Future Initiative và Windows Resiliency Initiative.
"Với Windows Baseline Security Mode, Windows sẽ chuyển sang hoạt động với các biện pháp bảo vệ toàn vẹn thời gian chạy được bật theo mặc định," hãng lưu ý. "Những biện pháp bảo vệ này đảm bảo rằng chỉ các ứng dụng, dịch vụ và driver được ký hợp lệ mới được phép chạy, giúp bảo vệ hệ thống khỏi bị giả mạo hoặc thay đổi trái phép."
User Transparency and Consent, tương tự như framework Transparency, Consent, and Control (TCC) của Apple macOS, nhằm mục đích giới thiệu một phương pháp tiếp cận nhất quán để xử lý các quyết định bảo mật. Hệ điều hành sẽ nhắc người dùng khi các ứng dụng cố gắng truy cập các tài nguyên nhạy cảm, chẳng hạn như tệp, camera hoặc microphone, hoặc khi chúng cố gắng cài đặt phần mềm không mong muốn khác.
"Các lời nhắc này được thiết kế rõ ràng và có thể hành động, và bạn sẽ luôn có khả năng xem xét và thay đổi lựa chọn của mình sau này," Logan Iyer, Kỹ sư xuất sắc tại Microsoft, cho biết. "Các ứng dụng và AI agents cũng sẽ được yêu cầu đáp ứng các tiêu chuẩn minh bạch cao hơn, mang lại cho cả người dùng và quản trị viên IT khả năng hiển thị tốt hơn về hành vi của chúng."
