Bản cập nhật Patch Tuesday tháng 5 của Microsoft có vẻ khá yên tĩnh. Tuy nhiên, kể từ đó, đã xuất hiện một lỗ hổng bảo mật chưa được vá trên Exchange, ba lỗ hổng trên Defender và một lỗ hổng mới giúp vượt qua BitLocker.
Mặc dù bản cập nhật Patch Tuesday tháng 5 không phát hiện ra lỗ hổng bảo mật zero-day nào cần vá, nhưng hậu quả kể từ đó lại rất nghiêm trọng.
Những cuộc tấn công đầu tiên vào Microsoft Exchange Server đã xảy ra ngay trong tuần Patch Tuesday, lợi dụng một lỗ hổng vẫn chưa được khắc phục và tiếp tục bị tin tặc khai thác.
Trong khi đó, Microsoft đã phát hành các bản cập nhật bảo mật cho Malware Protection Engine của mình để khắc phục các lỗ hổng nghiêm trọng, đảo ngược quyết định thiết kế lưu trữ mật khẩu dưới dạng văn bản thuần trong Edge, và nhiều hơn nữa. Thêm vào đó, một nhà nghiên cứu bảo mật đã công bố một bằng chứng về lỗ hổng khai thác, lần này nhắm vào một lỗ hổng trong bảo mật BitLocker.
Bản vá lỗi tiếp theo dự kiến vào ngày 9 tháng 6 năm 2026.
Các lỗ hổng bảo mật của Microsoft Exchange Server
Lỗ hổng giả mạo CVE-2026-42897 trong Exchange Server (2016, 2019 và Phiên bản đăng ký), được Microsoft xếp loại là nghiêm trọng, đang bị khai thác trong thực tế.
Microsoft hiện chưa có bản cập nhật nào để khắc phục lỗ hổng bảo mật này. Dịch vụ Exchange Emergency Mitigation (EM) có thể tự động khắc phục, miễn là dịch vụ này được kích hoạt. Trong một bài đăng trên blog, nhóm Exchange của Microsoft giải thích cách các quản trị viên doanh nghiệp có thể giảm thiểu tấn công—và cả những tác dụng phụ mà điều này có thể gây ra.
YellowKey đánh bại BitLocker
Một nhà nghiên cứu bảo mật có biệt danh Nightmare-Eclipse—người trước đây chịu trách nhiệm cho các lỗ hổng bảo mật RedSun và MiniPlasma—đã tiếp tục cuộc tranh chấp với Microsoft bằng cách công bố một lỗ hổng bảo mật khác liên quan đến BitLocker.
Lỗ hổng này được gọi là YellowKey và cho phép kẻ tấn công có quyền truy cập vật lý vào máy tính được mã hóa bằng BitLocker vượt qua lớp bảo vệ BitLocker bằng cách sử dụng ổ USB flash. Điều này hoạt động nếu BitLocker được sử dụng trên thiết bị ở chế độ chỉ TPM mà không cần mã PIN. Microsoft đã xếp hạng mức độ rủi ro cao cho lỗ hổng này, liệt kê nó là CVE-2026-45585 (Vượt qua tính năng bảo mật BitLocker), và đã phát hành các bản cập nhật cho Windows 11 và Server 2025.
Microsoft Edge và Ứng dụng Xác thực
Trước đây chúng tôi đã đưa tin rằng trình duyệt Edge của Microsoft tải mật khẩu đã lưu vào bộ nhớ dưới dạng văn bản thuần để chúng có thể được sử dụng ngay lập tức khi cần. Kể từ bản cập nhật Edge ngày 15 tháng 5 (phiên bản 148.0.3967.70), trình duyệt đã xử lý mật khẩu cẩn thận hơn. Tính đến ngày 21 tháng 5, Edge dành cho Android cũng đã được cập nhật lên phiên bản này.
Các ứng dụng Xác thực của Microsoft dành cho Android và iOS cũng được phát hiện là tiết lộ thông tin nhạy cảm, cho phép kẻ tấn công truy cập mọi thứ—tệp, dịch vụ, thông tin—bằng cách sử dụng quyền của người dùng hiện đang đăng nhập. Microsoft phân loại lỗ hổng CVE-2026-41615 là nghiêm trọng và đã phát hành các phiên bản đã được sửa lỗi của ứng dụng.
Microsoft Defender dễ bị tấn công
Hệ thống phòng chống phần mềm độc hại của Microsoft dành cho máy tính Windows có ba lỗ hổng cần được vá. Kẻ tấn công có thể khai thác những lỗ hổng này để lén lút đưa mã độc vượt qua Defender mà không bị phát hiện. Có vẻ như chúng đang làm điều đó, khi Microsoft báo cáo rằng lỗ hổng leo thang đặc quyền CVE-2026-41091 có mã khai thác đã được công khai. Khai thác lỗ hổng bảo mật này sẽ cấp cho kẻ tấn công đặc quyền hệ thống.
Lỗ hổng tấn công từ chối dịch vụ (DoS) CVE-2026-45498 trong Microsoft Defender cũng đang bị khai thác. Tuy nhiên, lỗ hổng thực thi mã từ xa (RCE) CVE-2026-45584 vẫn chưa bị khai thác, mặc dù nó có thể được sử dụng để thực thi mã.
Các lỗ hổng bảo mật này tồn tại trong Công cụ Bảo vệ Phần mềm độc hại của Microsoft cho đến phiên bản 1.1.26030.3008. Microsoft đã phát hành các phiên bản vá lỗi như một phần của bản cập nhật tự động hàng ngày cho Defender. Trong phiên bản 1.1.26040.8 trở lên, cả ba lỗ hổng đều đã được khắc phục.
Để chắc chắn, hãy kiểm tra xem bạn đã nhận được phiên bản vá lỗi này chưa bằng cách mở Cài đặt Windows > Quyền riêng tư & bảo mật → Bảo mật Windows → Bảo vệ khỏi vi-rút & mối đe dọa → Cài đặt (biểu tượng ⚙ ở góc dưới bên trái) → Giới thiệu. Mục “Phiên bản Công cụ” là mục bạn cần xem.