Microsoft tung bản vá kỷ lục cho 206 lỗ hổng, bao gồm 3 zero-day nguy hiểm

Trong đợt cập nhật bảo mật định kỳ tháng 6/2026, Microsoft đã ghi nhận con số kỷ lục khi tung ra bản vá cho 206 lỗ hổng bảo mật trong hệ sinh thái phần mềm của mình. Trong số đó, có 39 lỗ hổng được xếp hạng Critical (nghiêm trọng) và 167 lỗ hổng ở mức Important (quan trọng).

Các lỗ hổng này bao gồm nhiều nhóm nguy hiểm như: 63 lỗi leo thang đặc quyền (privilege escalation), 56 lỗi thực thi mã từ xa (RCE), cùng các vấn đề về tiết lộ thông tin, giả mạo và bypass tính năng bảo mật.

Những lỗ hổng RCE đáng chú ý

Đáng chú ý nhất là CVE-2026-45657 (điểm CVSS 9.8), một lỗ hổng use-after-free trong Windows Kernel cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực. Bằng cách gửi các gói tin mạng được thiết kế đặc biệt, kẻ tấn công có thể chiếm quyền điều khiển hệ thống với đặc quyền system.

Ngoài ra, hai lỗ hổng khác cũng đạt mức điểm tối đa 9.8 là CVE-2026-47291 (lỗi integer overflow trong HTTP.sys) và CVE-2026-44815 (lỗi stack-based buffer overflow trong Windows DHCP Client). Các chuyên gia cảnh báo rằng vì DHCP là dịch vụ cốt lõi, việc khai thác thành công có thể dẫn đến tình trạng chiếm quyền server, triển khai malware và đánh cắp dữ liệu trên diện rộng.

Các lỗ hổng Zero-day và Bypass BitLocker

Đợt cập nhật này cũng giải quyết các lỗ hổng zero-day đã bị công khai, bao gồm CVE-2026-50507 (liên quan đến bypass BitLocker), CVE-2026-49160 (lỗi DoS trong HTTP.sys) và CVE-2026-45586 (lỗi leo thang đặc quyền trong CTFMON). Đặc biệt, lỗ hổng DoS HTTP.sys liên quan đến kỹ thuật tấn công ‘HTTP2/Bomb’ có khả năng làm cạn kiệt tài nguyên RAM của server chỉ trong vài chục giây.

Microsoft cũng đã bổ sung thiết lập registry mới mang tên ‘MaxHeadersCount’ để giới hạn số lượng header trong các yêu cầu HTTP/2 và HTTP/3 nhằm giảm thiểu rủi ro bị tấn công từ chối dịch vụ.

Tác động của AI trong phát hiện lỗ hổng

Số lượng lỗ hổng khổng lồ trong tháng này được giới chuyên gia nhận định là hệ quả của việc ứng dụng trí tuệ nhân tạo (AI) vào quá trình tìm kiếm và phát hiện lỗi. Các nhà nghiên cứu từ Tenable và TrendAI cho rằng, việc AI ‘siêu tăng tốc’ quá trình tìm kiếm lỗ hổng đang tạo ra áp lực chưa từng có lên quy trình phát hành bản vá của các nhà phát triển.

Hiện tại, các quản trị viên hệ thống được khuyến cáo ưu tiên cập nhật ngay lập tức, đặc biệt là các server đang chạy dịch vụ DHCP và các hệ thống sử dụng Windows Kernel, để tránh nguy cơ bị khai thác bởi các mã exploit đã xuất hiện công khai trên mạng.

Nguồn tham khảo: The Hacker News