Lỗ hổng nghiêm trọng trong Microsoft SQL Server đe dọa chiếm quyền hệ thống database

[WhiteHat Team]

Microsoft vừa công bố một lỗ hổng zero-day nghiêm trọng trong Microsoft SQL Server có thể cho phép kẻ tấn công leo thang đặc quyền lên mức quản trị cao nhất của hệ quản trị cơ sở dữ liệu. Lỗ hổng được định danh CVE-2026-21262 và được công bố ngày 10/3/2026, làm dấy lên lo ngại đối với nhiều doanh nghiệp đang vận hành hệ thống cơ sở dữ liệu quy mô lớn.
​

Theo cảnh báo của Microsoft, lỗ hổng xuất phát từ lỗi kiểm soát truy cập không đúng cách (CWE-284) trong Microsoft SQL Server. Điểm yếu này cho phép một người dùng đã đăng nhập hợp lệ vào hệ thống lợi dụng cơ chế kiểm soát truy cập bị lỗi để nâng quyền phiên làm việc lên cấp SQL sysadmin - mức quyền quản trị cao nhất trong môi trường SQL Server. Khi đạt được quyền này, kẻ tấn công có thể kiểm soát toàn bộ cơ sở dữ liệu, bao gồm truy cập, chỉnh sửa hoặc xóa dữ liệu, thay đổi cấu hình hệ thống và thực thi các thao tác quản trị nhạy cảm.

Lỗ hổng CVE-2026-21262 được chấm 8,8 điểm theo thang CVSS v3.1, thuộc mức nghiêm trọng cao. Việc khai thác có thể thực hiện từ xa với độ phức tạp thấp, chỉ yêu cầu một tài khoản có quyền truy cập ban đầu ở mức tối thiểu và không cần tương tác từ người dùng. Nếu bị lợi dụng, lỗ hổng có thể tác động đến cả ba trụ cột bảo mật gồm tính bảo mật dữ liệu, tính toàn vẹn và khả năng sẵn sàng của hệ thống, khiến các hệ thống cơ sở dữ liệu quan trọng đối mặt nguy cơ bị kiểm soát hoặc gián đoạn hoạt động.

Microsoft cho biết CVE-2026-21262 đã được công bố công khai, nhưng hiện chưa ghi nhận dấu hiệu bị khai thác ngoài thực tế. Dù vậy, việc thông tin kỹ thuật đã lộ ra ngoài có thể tạo điều kiện để các nhóm tấn công nhanh chóng phát triển mã khai thác. Trong bối cảnh nhiều doanh nghiệp cho phép nhiều người dùng hoặc ứng dụng cùng truy cập vào cơ sở dữ liệu, nguy cơ leo thang đặc quyền từ một tài khoản có quyền hạn thấp trở thành quản trị viên là kịch bản đặc biệt nguy hiểm.

Trong kịch bản thực tế, kẻ tấn công có thể đăng nhập vào một phiên làm việc hợp lệ trên Microsoft SQL Server bằng một tài khoản người dùng thông thường, chẳng hạn tài khoản của ứng dụng, nhân viên nội bộ hoặc tài khoản bị lộ thông tin đăng nhập. Từ điểm truy cập ban đầu này, chúng lợi dụng lỗ hổng trong cơ chế kiểm soát truy cập để âm thầm nâng quyền của phiên làm việc lên cấp sysadmin, qua đó mở rộng phạm vi kiểm soát đối với toàn bộ hệ thống cơ sở dữ liệu.

Rủi ro càng trở nên lớn trong các môi trường multi-tenant hoặc hệ thống cơ sở dữ liệu dùng chung, nơi nhiều người dùng và dịch vụ cùng truy cập vào một máy chủ SQL. Chỉ cần một tài khoản hợp lệ bị lộ hoặc bị chiếm quyền, kẻ tấn công có thể tận dụng lỗ hổng để nhanh chóng mở rộng quyền truy cập và từ đó ảnh hưởng đến toàn bộ dữ liệu và dịch vụ đang chạy trên cùng hệ thống.

Để giảm thiểu nguy cơ, Microsoft đã phát hành bản vá bảo mật cho nhiều phiên bản SQL Server đang được hỗ trợ, bao gồm từ SQL Server 2016 đến SQL Server 2025. Các bản cập nhật quan trọng gồm:​

• SQL Server 2025: KB5077466 (CU2+GDR) và KB5077468 (RTM+GDR)​
• SQL Server 2022: KB5077464 (CU23+GDR) và KB5077465 (RTM+GDR)​
• SQL Server 2019: KB5077469 (CU32+GDR) và KB5077470 (RTM+GDR)​
• SQL Server 2017: KB5077471 và KB5077472​
• SQL Server 2016: KB5077473 và KB5077474​

Các hệ thống SQL Server chạy trên hạ tầng đám mây Windows Azure dạng IaaS cũng có thể nhận bản vá thông qua cơ chế Microsoft Update hoặc tải thủ công từ trung tâm tải về của Microsoft.

Giới chuyên gia khuyến nghị các tổ chức ưu tiên cập nhật bản vá ngay lập tức do lỗ hổng đã bị công bố công khai. Bên cạnh đó, đội ngũ quản trị nên rà soát lại quyền của các tài khoản trong SQL Server, hạn chế cấp quyền trực tiếp không cần thiết và theo dõi nhật ký hệ thống để phát hiện sớm các dấu hiệu leo thang đặc quyền bất thường.

Đối với các phiên bản SQL Server đã hết vòng đời hỗ trợ, doanh nghiệp cần lên kế hoạch nâng cấp sang phiên bản còn được hỗ trợ để tiếp tục nhận các bản vá bảo mật quan trọng trong tương lai.
​

Theo Cyber Security News​