Patch Tuesday tháng 1/2026: Microsoft vá 114 lỗ hổng, 3 zero-day đã bị khai thác

[WhiteHat Team]

Microsoft mở màn năm 2026 bằng một đợt vá bảo mật quy mô lớn, khắc phục tổng cộng 114 lỗ hổng trên nhiều thành phần cốt lõi của hệ sinh thái Windows và Microsoft 365. Trong số này có 8 lỗ hổng nghiêm trọng và 106 lỗ hổng ở mức quan trọng, trải dài từ Windows NTFS, Desktop Window Manager cho tới các driver cấp thấp trong nhân hệ điều hành.
​

Điểm đáng chú ý nhất của bản cập nhật lần này là việc Microsoft xác nhận có tới ba lỗ hổng zero-day được vá, trong đó ít nhất một lỗ hổng đã bị khai thác thực tế. Điều này khiến bản vá tháng 1 trở thành ưu tiên hàng đầu đối với các đội ngũ an ninh và quản trị hệ thống.

Theo thống kê của Microsoft, 114 lỗ hổng được vá bao gồm 57 lỗ hổng leo thang đặc quyền, 22 lỗ hổng thực thi mã từ xa, 22 lỗ hổng rò rỉ thông tin, 5 lỗ hổng giả mạo, 3 lỗ hổng vượt qua cơ chế bảo mật và 2 lỗ hổng từ chối dịch vụ. Bức tranh tổng thể cho thấy bề mặt tấn công của Windows vẫn tập trung mạnh vào các cơ chế đặc quyền và xử lý bộ nhớ.

Lỗ hổng nguy hiểm nhất trong đợt phát hành này là CVE-2026-20805, một lỗi rò rỉ thông tin trong Desktop Window Manager. Theo mô tả kỹ thuật, kẻ tấn công không cần xác thực có thể khai thác lỗi để làm lộ địa chỉ vùng nhớ user-mode thông qua một cổng ALPC từ xa. Dù không trực tiếp cho phép chiếm quyền điều khiển hệ thống, việc rò rỉ thông tin bộ nhớ có thể trở thành mắt xích quan trọng trong các chuỗi khai thác phức tạp hơn. Lỗ hổng này đã được Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ đưa vào danh sách các lỗ hổng đang bị khai thác, đồng thời yêu cầu các tổ chức hoàn tất vá lỗi trước ngày 3 tháng 2 năm 2026.

Hai zero-day còn lại đã bị công bố công khai trước khi có bản vá chính thức. Trường hợp đầu tiên là lỗ hổng trong driver Agere Soft Modem với mã CVE-2023-31096. Đây là các driver bên thứ ba được phân phối sẵn cùng Windows trong nhiều năm. Microsoft cho biết lỗ hổng có thể cho phép kẻ tấn công leo thang lên quyền SYSTEM. Biện pháp khắc phục được hãng áp dụng là loại bỏ hoàn toàn các file agrsm64.sys và agrsm.sys khỏi hệ thống.

Zero-day thứ ba là CVE-2026-21265, liên quan đến cơ chế Secure Boot của Windows. Nguyên nhân bắt nguồn từ việc các chứng chỉ Secure Boot được phát hành từ năm 2011 đã hết hạn. Microsoft cảnh báo rằng các hệ thống không được cập nhật sẽ đối mặt với nguy cơ bị vượt qua Secure Boot, tạo điều kiện cho mã độc can thiệp ngay từ giai đoạn khởi động.

Bên cạnh các zero-day, bản vá tháng 1 còn khắc phục nhiều lỗ hổng thực thi mã từ xa nghiêm trọng. Microsoft Office tiếp tục là mục tiêu hấp dẫn khi hàng loạt lỗi ảnh hưởng tới Word và Excel được vá, bao gồm các mã CVE-2026-20944, CVE-2026-20952, CVE-2026-20953, CVE-2026-20955 và CVE-2026-20957. Các lỗi này xuất phát từ những vấn đề quen thuộc như use-after-free hay integer underflow và thường yêu cầu người dùng mở một tệp tin độc hại do kẻ tấn công chuẩn bị sẵn.

Đáng lo ngại hơn đối với môi trường doanh nghiệp là lỗ hổng CVE-2026-20854 trong dịch vụ Local Security Authority Subsystem Service. Đây là thành phần giữ vai trò trung tâm trong cơ chế xác thực và quản lý thông tin đăng nhập của Windows. Theo Microsoft, một kẻ tấn công đã có quyền hợp lệ có thể khai thác lỗi use-after-free để thực thi mã từ xa qua mạng, tạo ra rủi ro nghiêm trọng đối với các hệ thống domain và hạ tầng nội bộ.

Với việc đã có lỗ hổng bị khai thác thực tế, Microsoft khuyến nghị các tổ chức và người dùng không trì hoãn việc kiểm thử và triển khai bản vá tháng 1 năm 2026. Trong bối cảnh các chuỗi tấn công ngày càng tinh vi và tận dụng triệt để zero-day, Patch Tuesday lần này không chỉ là một bản cập nhật định kỳ mà còn là tuyến phòng thủ cần được kích hoạt càng sớm càng tốt.
​

Tổng hợp​