Vào thứ Ba, Microsoft đã phát hành các bản vá cho 84 lỗ hổng bảo mật mới ảnh hưởng đến nhiều thành phần phần mềm khác nhau, trong đó có hai lỗ hổng đã được công bố rộng rãi.
Trong số này, có 8 lỗ hổng được xếp hạng Critical và 76 lỗ hổng được xếp hạng Important về mức độ nghiêm trọng. Bốn mươi sáu lỗ hổng đã được vá liên quan đến privilege escalation, tiếp theo là 18 lỗ hổng remote code execution, 10 lỗ hổng information disclosure, 4 lỗ hổng spoofing, 4 lỗ hổng denial-of-service và 2 lỗ hổng security feature bypass.
Các bản vá này bổ sung cho 10 lỗ hổng đã được xử lý trong trình duyệt Edge dựa trên Chromium của hãng kể từ khi bản cập nhật Patch Tuesday tháng 2 năm 2026 được phát hành.
Hai lỗ hổng Zero-Day được công bố rộng rãi là CVE-2026-26127 (điểm CVSS: 7.5), một lỗ hổng denial-of-service trong .NET, và CVE-2026-21262 (điểm CVSS: 8.8), một lỗ hổng elevation of privilege trong SQL Server.
Lỗ hổng có điểm CVSS cao nhất trong bản cập nhật tháng này là một lỗ hổng remote code execution nghiêm trọng trong Chương trình định giá thiết bị của Microsoft (Microsoft Devices Pricing Program). CVE-2026-21536 (điểm CVSS: 9.8), theo Microsoft, đã được giảm thiểu hoàn toàn và người dùng không cần thực hiện hành động nào. Nền tảng phát hiện lỗ hổng tự động dựa trên trí tuệ nhân tạo (AI) XBOW đã được ghi nhận vì đã phát hiện và báo cáo vấn đề này.
"Tháng này, hơn một nửa (55%) tổng số CVE của Patch Tuesday là các lỗi privilege escalation, và trong số đó, sáu lỗi được đánh giá có khả năng khai thác cao hơn trên Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server và Winlogon," Satnam Narang, kỹ sư nghiên cứu cấp cao tại Tenable, cho biết.
"Chúng tôi biết rằng những lỗi này thường được các threat actor sử dụng như một phần của hoạt động hậu xâm nhập, một khi chúng xâm nhập vào hệ thống bằng các phương tiện khác (social engineering, khai thác lỗ hổng khác)."
Cụ thể, lỗ hổng privilege escalation của Winlogon (CVE-2026-25187, điểm CVSS: 7.8) đã lợi dụng việc phân giải liên kết không đúng cách để giành được đặc quyền SYSTEM. James Forshaw, nhà nghiên cứu của Google Project Zero, đã được ghi nhận vì báo cáo lỗ hổng này.
"Lỗ hổng này cho phép một kẻ tấn công được xác thực cục bộ với đặc quyền thấp khai thác điều kiện theo dõi liên kết trong tiến trình Winlogon và leo thang lên đặc quyền SYSTEM," Jacob Ashdown, kỹ sư an ninh mạng tại Immersive, cho biết. "Lỗ hổng không yêu cầu tương tác của người dùng và có độ phức tạp tấn công thấp, khiến nó trở thành mục tiêu dễ dàng một khi kẻ tấn công đã giành được quyền truy cập."
Một lỗ hổng đáng chú ý khác là CVE-2026-26118 (điểm CVSS: 8.8), một lỗi server-side request forgery trong máy chủ Azure Model Context Protocol (MCP) có thể cho phép kẻ tấn công được ủy quyền nâng cao đặc quyền qua mạng.
"Kẻ tấn công có thể khai thác vấn đề này bằng cách gửi đầu vào được tạo đặc biệt đến một công cụ Azure Model Context Protocol (MCP) Server chấp nhận các tham số do người dùng cung cấp," Microsoft cho biết.
"Nếu kẻ tấn công có thể tương tác với tác nhân được hỗ trợ bởi MCP, chúng có thể gửi một URL độc hại thay cho một định danh tài nguyên Azure thông thường. MCP Server sau đó sẽ gửi một yêu cầu bên ngoài đến URL đó và khi làm như vậy, có thể bao gồm token managed identity của nó. Điều này cho phép kẻ tấn công thu thập token đó mà không cần quyền truy cập quản trị."
Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công lấy được các quyền liên quan đến managed identity của MCP Server. Sau đó, kẻ tấn công có thể lợi dụng hành vi này để truy cập hoặc thực hiện các hành động trên bất kỳ tài nguyên nào mà managed identity được ủy quyền truy cập.
Trong số các lỗi có mức độ nghiêm trọng Critical được Microsoft giải quyết có một lỗ hổng information disclosure trong Excel. Được theo dõi là CVE-2026-26144 (điểm CVSS 7.5), nó đã được mô tả là một trường hợp cross-site scripting xảy ra do việc xử lý đầu vào không đúng cách trong quá trình tạo trang web.
Nhà sản xuất Windows cho biết kẻ tấn công khai thác lỗ hổng này có thể khiến chế độ Copilot Agent trích xuất dữ liệu như một phần của cuộc tấn công zero-click.
"Các lỗ hổng information disclosure đặc biệt nguy hiểm trong môi trường doanh nghiệp nơi các tệp Excel thường chứa dữ liệu tài chính, tài sản trí tuệ hoặc hồ sơ hoạt động," Alex Vovk, CEO và đồng sáng lập của Action1, cho biết trong một tuyên bố.
"Nếu bị khai thác, kẻ tấn công có thể âm thầm trích xuất thông tin bí mật từ các hệ thống nội bộ mà không gây ra cảnh báo rõ ràng. Các tổ chức sử dụng các tính năng năng suất hỗ trợ AI có thể đối mặt với nguy cơ tiếp xúc tăng lên, vì các tác nhân tự động có thể vô tình truyền dữ liệu nhạy cảm ra ngoài ranh giới doanh nghiệp."
Các bản vá được đưa ra khi Microsoft cho biết họ đang thay đổi hành vi mặc định của Windows Autopatch bằng cách bật các bản cập nhật bảo mật hotpatch để giúp bảo mật thiết bị nhanh hơn.
"Thay đổi trong hành vi mặc định này sẽ áp dụng cho tất cả các thiết bị đủ điều kiện trong Microsoft Intune và những thiết bị truy cập dịch vụ qua Microsoft Graph API bắt đầu với bản cập nhật bảo mật Windows tháng 5 năm 2026," Microsoft cho biết. "Việc áp dụng các bản sửa lỗi bảo mật mà không cần đợi khởi động lại có thể giúp các tổ chức đạt được 90% tuân thủ trong một nửa thời gian, trong khi bạn vẫn giữ quyền kiểm soát."
