Microsoft vừa phát hành bản cập nhật bảo mật Patch Tuesday tháng 6 năm 2026, xử lý tổng cộng 198 lỗ hổng trên toàn bộ hệ sinh thái sản phẩm của mình. Bản cập nhật này, công bố vào ngày 9 tháng 6 năm 2026, nổi bật không chỉ về số lượng mà còn bao gồm ba lỗ hổng zero-day đã bị khai thác hoặc đã được công khai trước khi có bản vá. Quản trị viên được khuyến nghị ưu tiên triển khai vì mọi lỗ hổng CVE trong chu kỳ này đều yêu cầu hành động từ phía khách hàng. Đây là một ví dụ điển hình về các cảnh báo CVE cần được chú ý.
Các Lỗ hổng Zero-Day Nổi bật
CVE-2026-50507: Lỗ hổng bỏ qua tính năng bảo mật BitLocker
CVE-2026-50507 là một lỗ hổng bỏ qua tính năng bảo mật trong Windows BitLocker, được đánh giá là Important. Một kẻ tấn công có quyền truy cập vật lý hoặc cục bộ có thể lợi dụng lỗ hổng này để vô hiệu hóa các biện pháp mã hóa toàn bộ đĩa của BitLocker, làm suy yếu lớp phòng thủ cuối cùng cho các thiết bị bị mất hoặc đánh cắp.
CVE-2026-49160: Tấn công từ chối dịch vụ qua HTTP.sys
CVE-2026-49160 là một lỗ hổng tấn công từ chối dịch vụ (Denial of Service) trong HTTP.sys, ảnh hưởng đến ngăn xếp HTTP/2. Lỗ hổng này cũng được đánh giá là Important. Do HTTP.sys hoạt động dưới IIS và các dịch vụ mạng Windows khác, một luồng yêu cầu được chế tạo cẩn thận có thể làm sập các máy chủ web bị lộ, khiến nó trở thành ưu tiên cho các hạ tầng hướng ra Internet.
CVE-2026-45586: Lỗ hổng zero-day thứ ba
CVE-2026-45586 là lỗ hổng zero-day thứ ba trong chu kỳ này. Cả ba lỗ hổng này đều nhấn mạnh một chủ đề lặp lại: bỏ qua mã hóa, gián đoạn dịch vụ và tính toàn vẹn của đường dẫn khởi động (boot-path integrity) luôn là các mục tiêu ưa thích của kẻ tấn công.
Các Lỗ hổng Thực thi Mã Từ Xa (RCE)
Ngoài các lỗ hổng zero-day, bản cập nhật này còn bao gồm 54 lỗ hổng RCE, trong đó một tập hợp đáng chú ý được đánh giá là Critical. Đây là một con số đáng kể, cho thấy mức độ nghiêm trọng của các mối đe dọa trong bản vá lần này.
Remote Desktop Client là mục tiêu chính
Remote Desktop Client nhận được số lượng lỗ hổng RCE tập trung nhất, với tổng cộng 11 CVE, bao gồm các lỗ hổng được đánh giá Critical như CVE-2026-44801, CVE-2026-44799, CVE-2026-42992, và CVE-2026-42985. Những lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Windows Hyper-V và Microsoft Office bị ảnh hưởng
Windows Hyper-V cũng bị ảnh hưởng đáng kể bởi các lỗ hổng RCE Critical như CVE-2026-47652, CVE-2026-45641, và CVE-2026-45607. Tất cả các lỗ hổng này đều có khả năng cho phép vượt thoát khỏi máy ảo (VM guest escape) và thực thi mã trên máy chủ chủ (host).
Microsoft Office cũng có nhiều bản vá cho lỗ hổng RCE Critical, bao gồm CVE-2026-45458 và CVE-2026-45456 (Outlook và Word), CVE-2026-45474, và CVE-2026-45472. Tất cả đều có thể bị khai thác thông qua việc gửi tài liệu độc hại.
Lỗ hổng Leo thang Đặc quyền (EoP)
Với 63 lỗ hổng EoP, việc leo thang đặc quyền chiếm ưu thế trong chu kỳ vá lỗi này. Các thành phần chính bị ảnh hưởng bao gồm Windows DWM Core Library (11 CVE EoP), Windows Ancillary Function Driver for WinSock (7 CVEs), Windows Push Notifications (4 CVEs), và Windows Kernel (CVE-2026-48583, CVE-2026-45653). Lỗ hổng EoP Critical trong Microsoft Cryptographic Services (CVE-2026-44810) đặc biệt đáng chú ý vì nó nhắm vào một hệ thống con bảo mật nền tảng. Những lỗ hổng EoP này thường được kết hợp với các lỗ hổng truy cập ban đầu trong các kịch bản tấn công nhiều giai đoạn để giành quyền kiểm soát cấp SYSTEM.
Lỗ hổng Bỏ qua Tính năng Bảo mật Khởi động
Windows Secure Boot nhận được 8 bản vá lỗi bỏ qua tính năng bảo mật trong tháng này, tiếp tục xu hướng đầu tư của kẻ tấn công vào việc làm suy yếu tính toàn vẹn của quá trình khởi động trước hệ điều hành.
Khuyến nghị Bảo mật
Với ba lỗ hổng zero-day đang bị khai thác tích cực và nhiều lỗ hổng RCE Critical, các nhóm bảo mật nên kiểm tra và triển khai các bản cập nhật của tháng này mà không chậm trễ. Ưu tiên các máy chủ sử dụng BitLocker, HTTP.sys, Remote Desktop và Hyper-V. Trong trường hợp không thể vá lỗi ngay lập tức, việc phân đoạn mạng và hạn chế phơi nhiễm RDP có thể giảm thiểu rủi ro cho đến khi các bản cập nhật được áp dụng. Việc cập nhật bản vá kịp thời là rất quan trọng để đảm bảo an toàn thông tin.
Danh sách các CVE
Đây là danh sách đầy đủ các CVE được Microsoft vá trong bản cập nhật tháng 6 năm 2026:
# Tải xuống CSV chứa danh sách đầy đủ các CVE:
# https://ppl-ai-file-upload.s3.amazonaws.com/web/direct-files/attachments/11146061/856c26b3-3128-4058-83a5-96bd360f143e/Security-Updates-2026-06-09-103822pm.csv?AWSAccessKeyId=ASIA2F3EMEYEWLJEKEWN&Signature=lo860t9cz0N06ui4rlO1qYi%2BY1Q%3D&x-amz-security-token=IQoJb3JpZ2luX2VjEAoaCXVzLWVhc3QtMSJIMEYCIQC7KROVHRzy7XWiqcmof%2FgkpqajoBSX8VTQsoQyBkYMxwIhAIuYHyZtQkbubveFsnjQp6MTRdZnY33eGbytu8QaUo4KKvwECNL%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEQARoMNjk5NzUzMzA5NzA1Igx8%2F%2FOtvjEg4dWKXHcq0ASXTlyWlJhRf4D6C6VHYqlJ2kcvNJUnNZucufNt1ctImEfw4GEvIE%2Boy6MiMUsOeAd0do%2FJG8XqfbelhhMtZRYRFbHzytDKAgvCA6xb8fT9IFY4NpVTHbQ%2FHIu3OdRSYQTq4pWfW21owwr9ldx12GfbG7A2oR0LZHqMoN6veqUSYyUZvWpiCR6Nc%2Bdii4IV2WsJYOmqibgorAesSXi3Erv8%2BmQj%2F9W0%2ByKaJLWdHrkSYOCEKUA5sZf4Rr2JfFF7gisPFxlQ9jruYuypEdnOwNtXP0BcCp5R10m%2FumHh3%2F9mS7Ift7C1STQqVKdzPhrstFcJKLwmAaSnkSg9m8Di2S3F9fpFTU1cNgg7hhS6K30bDe7719EwIet6gmMuX3BwueMOI6h3XM5wZqgCZE%2FdgimzAX0NQaMdLIr8ZjTQ25W5b6BulZPfR8lnN4KPBm4r9GAn8kShNEkmP0mu6sD8NxbVWUy0FMgvTp5hEMidw5qG0FPDbEW7XPVT7aJROF0hx0OUWnQaP4U3hhdI10iCHrgO%2FVMRuQnK3LgNFkJVU7YBrHNWg5UcvC1ij%2F1Zm9U%2FU1ZcoyfBO8wkI4isBJnHn0%2B21KSuCwaLoJNN0uJcVTfxoWt%2BE11wJyliLutwpEgrvLg3DCR7TpIiGhMvigMuFWPlPayB7c1UnorMIfTukQahPoMM9BTa3JtywX%2FeMJyqOgG0TzNbjJLB8GTYu9jBmG99HaHSXPbqdVzxsreDjJbkiqCdGLjN5bxmyLyfMlTutDyoK6ivRDf0eNwzO%2FNyyJudMOiUodEGOpcB6aAB8MpXrc86C71MprbF4wuZCcNAHw7pfFrXPV3xyuVx6I6tWF7yDdiIGq2APSyX0F%2B4q92wt%2BhREYCBmddz3YK0xCZJCURzDOM0QV%2FjORDBT0MhwIUuu4W5vdh2ZOcrN5%2FQp%2FC4J7O5%2BfnCno3fdgUug8rLNKxel36d7AbL0G2oDLKv6c0L726OK1Wd%2BUI5Y7yoRimXOQ%3D%3D&Expires=1781028923
Các Cập nhật Patch Tuesday Khác
Bản cập nhật này còn bao gồm nhiều lỗ hổng bảo mật khác trên các sản phẩm của Microsoft, đòi hỏi sự chú ý và hành động kịp thời từ các chuyên gia CNTT và bảo mật để bảo vệ hệ thống trước các mối đe dọa mạng tiềm ẩn.
CISA thường xuyên công bố các khuyến cáo về các lỗ hổng nghiêm trọng và hướng dẫn khắc phục.
