Hôm nay, Microsoft đã phát hành bản cập nhật Patch Tuesday tháng 4 năm 2026 cho Windows 11. Bản cập nhật mới có sẵn với mã KB5083769 cho các phiên bản 25H2 và 24H2. Bên cạnh những thay đổi khác, bản vá mới mang đến một số cập nhật quan trọng liên quan đến một lỗ hổng bảo mật mới.
Microsoft đang giới thiệu các biện pháp bảo vệ mới trong Remote Desktop để chống lại các cuộc tấn công lừa đảo có thể lợi dụng các tệp RDP. Lỗ hổng mới này được thêm vào với ID mới CVE-2026-26151, một lỗ hổng giả mạo máy tính từ xa. Giả mạo về cơ bản có nghĩa là giả vờ là một thứ gì đó vô hại, tương tự như “bản cập nhật Windows 11 24H2” mà chúng ta đã đề cập gần đây.
Do đó, các cuộc tấn công này thường lừa người dùng kết nối với các hệ thống do kẻ tấn công kiểm soát và âm thầm chia sẻ tài nguyên cục bộ. Bản vá Windows 11 mới nhất thay đổi điều đó bằng cách hiển thị một hộp thoại bảo mật mới trước khi bất kỳ kết nối nào được thực hiện. Bản cập nhật giới thiệu cảnh báo và yêu cầu chấp thuận lần đầu tiên xuất hiện khi tệp RDP được mở lần đầu tiên sau khi vá lỗi. Cảnh báo này giải thích bản chất của các cuộc tấn công lừa đảo và khuyến khích cả quản trị viên lẫn người dùng nên thận trọng khi mở các tệp tin như vậy.
Các biểu ngữ sẽ hiển thị địa chỉ máy tính từ xa, thông tin nhà phát hành (nếu có) và bất kỳ yêu cầu truy cập nào vào tài nguyên cục bộ. Tất cả các cài đặt được yêu cầu đều bị vô hiệu hóa theo mặc định, nghĩa là người dùng phải bật chúng một cách rõ ràng trước khi kết nối. Ngoài ra, một cảnh báo một lần sẽ xuất hiện lần đầu tiên khi tệp RDP được mở để cảnh báo người dùng về các rủi ro. Nó chỉ được kích hoạt khi mở tệp RDP.
Microsoft đã giải thích cách thức chuyển hướng có thể làm lộ các tập tin nhạy cảm hoặc cho phép phần mềm độc hại được cài đặt vào hệ thống. Ví dụ, chia sẻ clipboard có thể làm rò rỉ mật khẩu hoặc văn bản bí mật, trong khi thẻ thông minh và thông tin đăng nhập Windows Hello có thể bị lạm dụng để truy cập trái phép. Micrô và camera có thể dẫn đến việc giám sát, và thậm chí cả máy in, cổng và dữ liệu vị trí cũng có thể bị khai thác theo những cách độc hại.
Hộp thoại mới làm nổi bật các yêu cầu này, cho biết tệp có được ký hay không và bởi ai. Các tệp chưa được ký giờ đây sẽ hiển thị “Unknown publisher” kèm theo dấu “Cảnh báo”, trong khi các tệp đã được ký sẽ hiển thị tên nhà xuất bản nhưng vẫn khuyến cáo xác minh cẩn thận, vì kẻ tấn công có thể sử dụng tên giả mạo.
Nếu bạn là quản trị viên muốn hoàn tác thay đổi này do không tương thích hoặc xung đột trong môi trường của mình,
- Mở Registry Editor.
- Đi đến khóa sau:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
và sửa giá trị thành: - Name: RedirectionWarningDialogVersion
Type: REG_DWORD
Data: 1
Mặc dù Microsoft đã cung cấp tùy chọn này để cấu hình hành vi hộp thoại thông qua việc sửa đổi registry (như đã nêu ở trên), nhưng họ cảnh báo rằng các bản cập nhật trong tương lai có thể loại bỏ các tùy chọn này.