Lỗ Hổng Rò Rỉ Thông Tin RDP Nghiêm Trọng: CVE-2026-50445

Lỗ Hổng Rò Rỉ Thông Tin RDP Nghiêm Trọng: CVE-2026-50445

Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục một loạt lỗ hổng rò rỉ thông tin trong Giao thức Máy tính Từ xa của Windows (RDP). Những lỗ hổng này có thể cho phép kẻ tấn công đọc dữ liệu nhạy cảm từ bộ nhớ hệ thống trong các phiên làm việc từ xa. Các lỗ hổng này ảnh hưởng đến nhiều phiên bản Windows client và server, bao gồm Windows 10, Windows 11 và các bản phát hành Windows Server.

Chi tiết các lỗ hổng CVE và CVSS

Các vấn đề được theo dõi dưới các mã CVE-2026-50445, CVE-2026-57982, CVE-2026-55003, CVE-2026-50497, và CVE-2026-57979. Tất cả đều được đánh giá ở mức “Important” với điểm CVSS cơ bản là 6.5. Đây là những cảnh báo CVE quan trọng mà quản trị viên cần chú ý.

Phân tích nguyên nhân kỹ thuật

Cả năm lỗ hổng đều liên quan đến các lỗi về an toàn bộ nhớ trong việc triển khai RDP. Chúng dẫn đến việc rò rỉ thông tin có tác động cao thay vì cho phép thực thi mã. Cụ thể, CVE-2026-50445CVE-2026-57979 liên quan đến các vấn đề buffer over-readout-of-bounds read.

Điều này có nghĩa là ngăn xếp RDP có thể vô tình đọc dữ liệu vượt ra ngoài ranh giới bộ đệm được chỉ định, có khả năng tiết lộ nội dung bộ nhớ heap cho kẻ tấn công qua mạng. Việc hiểu rõ các lỗ hổng CVE nghiêm trọng này là bước đầu tiên trong phòng chống.

CVE-2026-57982, CVE-2026-55003 và một phần của CVE-2026-50497 phát sinh từ việc sử dụng các tài nguyên chưa được khởi tạo. Trong những trường hợp này, RDP tương tác với các vùng bộ nhớ chưa được khởi tạo đúng cách và có thể vẫn chứa dữ liệu nhạy cảm từ các hoạt động trước đó.

Tác động tiềm ẩn và khả năng khai thác

Microsoft hiện phân loại các lỗ hổng này là “less likely” hoặc “unlikely” để bị khai thác, và không có bằng chứng về tấn công (proof-of-concept) công khai hoặc việc khai thác trong thực tế vào thời điểm công bố. Tuy nhiên, việc khai thác thành công có thể cho phép một kẻ tấn công từ xa chưa được xác thực hoặc có đặc quyền thấp trích xuất dữ liệu từ bộ nhớ tiến trình trong các phiên RDP.

Dữ liệu bị lộ có thể bao gồm thông tin đăng nhập, token phiên, trạng thái giao thức hoặc các địa chỉ bộ nhớ có thể làm suy yếu các biện pháp phòng thủ, chẳng hạn như Ngẫu nhiên hóa Bố cục Không gian Địa chỉ (ASLR), trong các cuộc tấn công tiếp theo. Việc bảo vệ chống lại mối đe dọa mạng này là rất quan trọng.

Một số kịch bản có thể yêu cầu tương tác người dùng, ví dụ như khi nạn nhân khởi tạo kết nối RDP. Ngược lại, các kịch bản khác có thể được kích hoạt bằng lưu lượng RDP được chế tạo đặc biệt từ một tài khoản được ủy quyền nhưng có đặc quyền thấp. Đây là một phần của các cuộc tấn công mạng tiềm tàng.

Ảnh hưởng đến doanh nghiệp

Các tác động tiềm ẩn đặc biệt đáng lo ngại đối với các doanh nghiệp phụ thuộc nhiều vào RDP cho quản trị từ xa, cơ sở hạ tầng máy tính để bàn ảo và các khối lượng công việc được lưu trữ trên đám mây. Việc duy trì an ninh mạng là tối quan trọng.

Vì các phiên RDP thường chạy với đặc quyền nâng cao và xử lý dữ liệu nhạy cảm, việc rò rỉ bộ nhớ cho kẻ tấn công trên mạng có thể tạo điều kiện cho việc di chuyển ngang, đánh cắp thông tin đăng nhập hoặc khai thác các lỗ hổng khác, chẳng hạn như các lỗi leo thang đặc quyền RDP đã được công bố trước đó vào năm 2026. Việc cập nhật bản vá kịp thời là biện pháp phòng ngừa thiết yếu.

Các phiên bản Windows bị ảnh hưởng

Danh sách các sản phẩm bị ảnh hưởng bao gồm nhiều thế hệ Windows, bao gồm:

  • Windows 10 phiên bản 1607, 1809, 21H2, và 22H2.
  • Windows 11 phiên bản 24H2, 25H2, và 26H1.
  • Windows Server phiên bản 2012, 2012 R2, 2016, 2019, 2022, và 2025.

Hành động khắc phục và khuyến nghị

Microsoft đã đưa ra các bản sửa lỗi chính thức thông qua các bản cập nhật tích lũy của Patch Tuesday tháng 7 năm 2026 và các bản cập nhật hàng tháng (monthly rollups), với các gói KB cụ thể có sẵn qua Windows Update và Microsoft Update Catalog. Việc update vá lỗi này cần được ưu tiên triển khai.

Quản trị viên nên ưu tiên triển khai các bản vá liên quan đến RDP tương ứng cho tất cả các bản dựng Windows bị ảnh hưởng. Đảm bảo rằng các máy chủ và máy khách Remote Desktop đã được cập nhật đầy đủ.

Cân nhắc hạn chế quyền truy cập RDP bằng cách thực thi xác thực mạnh, giới hạn việc tiếp xúc qua mạng và giám sát các hoạt động RDP bất thường. Trong môi trường mà RDP có thể truy cập qua Internet hoặc trên các mạng không tin cậy, các lỗ hổng tiết lộ thông tin này nên được coi là thành phần có rủi ro bảo mật cao của mối đe dọa RDP rộng lớn hơn và cần được khắc phục kịp thời.

Để tăng cường khả năng phòng thủ của Trung tâm Điều hành An ninh (SOC) bằng cách đẩy nhanh quá trình phát hiện mối đe dọa và điều tra nhanh chóng, hãy xem xét tích hợp các công cụ phân tích nâng cao. Truy cập ANY.RUN để tìm hiểu thêm về giải pháp SOC.