Quản trị viên Windows cần nhanh chóng triển khai các bản cập nhật bảo mật tháng 6 năm 2026 của Microsoft để khắc phục một lỗ hổng zero-day mới được phát hiện trong Windows Collaborative Translation Framework (CTFMON), được theo dõi là CVE‑2026‑45586.
Chi tiết về Lỗ hổng CVE‑2026‑45586
Lỗ hổng này cho phép kẻ tấn công cục bộ với quyền hạn thấp leo thang đặc quyền lên cấp độ SYSTEM. Điều này biến nó thành một công cụ hữu ích cho các tác nhân đe dọa trong giai đoạn sau khai thác.
CVE‑2026‑45586 là một lỗ hổng leo thang đặc quyền (elevation-of-privilege) trong Windows Collaborative Translation Framework. Khung này được triển khai bởi tiến trình CTFMON, vốn được sử dụng cho các tác vụ nhập liệu văn bản, giọng nói và chữ viết tay.
Phân loại lỗi kỹ thuật
Lỗi cơ bản được phân loại theo CWE‑59: Improper Link Resolution Before File Access, còn được gọi là “link following” không an toàn. Do điểm yếu này, CTFMON có thể bị đánh lừa để theo dõi các liên kết do kẻ tấn công kiểm soát, từ đó truy cập hoặc thực thi các tệp tin với đặc quyền đã được nâng cao.
Chỉ số CVSS và Mức độ nghiêm trọng
Microsoft đã gán cho lỗ hổng này mức độ nghiêm trọng “Important” với điểm số CVSS v3.1 cơ bản là 7.8. Vector tấn công chi tiết là AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
Điều này cho thấy cuộc tấn công yêu cầu truy cập cục bộ, có độ phức tạp thấp, chỉ cần quyền hạn thấp và không yêu cầu tương tác người dùng. Tuy nhiên, nó có thể ảnh hưởng nghiêm trọng đến tính bảo mật, toàn vẹn và khả dụng của hệ thống.
Tình trạng Zero-day
Microsoft xác nhận CVE‑2026‑45586 đã được công khai trước khi bản vá được phát hành, do đó nó được coi là một lỗ hổng zero-day.
Tại thời điểm phát hành bản vá, chưa có báo cáo nào về việc lỗ hổng bị khai thác trong thực tế. Tuy nhiên, chỉ số khả năng khai thác của Microsoft đánh giá nó ở mức “Exploitation More Likely”.
Nhiều phân tích từ các bản vá lỗi tháng 6 nhấn mạnh lỗ hổng CTFMON này là một trong những zero-day chính trong các bản vá tháng 6 năm 2026. Nếu bị khai thác thành công, lỗ hổng này cho phép kẻ tấn công giành được toàn quyền kiểm soát cấp độ SYSTEM.
Điều này làm cho nó trở nên đặc biệt hữu ích cho các kẻ tấn công đã có được quyền truy cập ban đầu thông qua phishing, mã độc hoặc thông tin đăng nhập bị đánh cắp, và đang tìm cách nâng cấp từ ngữ cảnh người dùng tiêu chuẩn lên quyền kiểm soát hoàn toàn điểm cuối.
Phạm vi ảnh hưởng và các phiên bản bị ảnh hưởng
CVE‑2026‑45586 ảnh hưởng đến một loạt các phiên bản Windows client và server được hỗ trợ, bao gồm các phiên bản thuộc dòng Windows 10, Windows 11 và Windows Server.
Microsoft đã phát hành các bản vá cho Windows Server 2012 và 2012 R2, Windows Server 2016, 2019, 2022, và 2025. Bên cạnh đó là Windows 10 phiên bản 1607, 1809, 21H2, 22H2, và Windows 11 phiên bản 23H2, 24H2, 25H2, và 26H1 trên kiến trúc x64 và ARM64 (nếu có áp dụng).
Chi tiết các bản vá lỗi
Mỗi nền tảng được khắc phục thông qua một KB (Knowledge Base) cụ thể:
- KB5094041/KB5094042 cho Server 2012/2012 R2
- KB5094122 cho Windows 10 1607/Server 2016
- KB5094123 cho Windows 10 1809/Server 2019
- KB5094128 cho Server 2022
- KB5094127 cho Windows 10 21H2/22H2
- KB5093998, KB5094126, KB5095051, và KB5094125 cho các biến thể Windows 11 và Windows Server 2025.
Microsoft liệt kê đây là các bản sửa lỗi chính thức với độ tin cậy được xác nhận.
Kỹ thuật Khai thác Lỗ hổng
Cuộc tấn công lạm dụng cơ chế theo dõi liên kết không an toàn trong quá trình xử lý tệp tin của CTFMON. Kỹ thuật này cho phép các liên kết độc hại (chẳng hạn như symbolic links hoặc junctions) trong các thư mục có thể ghi được bởi người dùng, chuyển hướng các thao tác tệp tin có đặc quyền đến các vị trí do kẻ tấn công kiểm soát.
Khi được xâu chuỗi chính xác, kỹ thuật này có thể dẫn đến thực thi mã tùy ý (arbitrary code execution) với quyền SYSTEM từ một ngữ cảnh có đặc quyền thấp.
Các biện pháp Phòng ngừa và Khắc phục
Các nhà cung cấp bảo mật đã bắt đầu công bố chữ ký, quy tắc và hướng dẫn cho lỗ hổng này như một phần của việc phân tích bản vá lỗi tháng 6 năm 2026.
Cho đến khi các bản vá được triển khai hoàn toàn, người phòng thủ nên theo dõi chặt chẽ hoạt động của CTFMON, các tiến trình bất thường xuất phát từ người dùng có đặc quyền thấp, và việc tạo liên kết đáng ngờ trong các thư mục có thể ghi được. Đồng thời, ưu tiên triển khai bản vá nhanh chóng trên các máy chủ và điểm cuối quan trọng.
Để phòng tránh các mối đe dọa tương tự, việc duy trì quy trình cập nhật bản vá kịp thời là rất quan trọng. Tham khảo thêm thông tin chi tiết về bản vá lỗi tại trang Microsoft MSRC.
