Microsoft Vá 84 Lỗ Hổng - Điểm Mặt 2 Lỗi Zero-Day Công Khai Về SQL Server Và .NET
Đến hẹn lại lên, bản cập nhật bảo mật Patch Tuesday tháng 3/2026 của Microsoft đã chính thức được phát hành để khắc phục 84 lỗ hổng trên nhiều thành phần phần mềm. Đáng chú ý nhất, có tới 8 lỗ hổng được xếp hạng "Nghiêm trọng" (Critical) và 2 lỗ hổng Zero-day đã bị rò rỉ thông tin trước khi bản vá kịp ra mắt.
.png "Microsoft Vá 84 Lỗ Hổng - Điểm Mặt 2 Lỗi Zero-Day Công Khai Về SQL Server Và .NET")
Mối đe dọa từ 2 lỗ hổng Zero-day "Lộ sáng"
Trong thế giới bảo mật, khi một lỗ hổng bị công khai (Publicly disclosed) trước khi có bản vá, nó giống như việc bản thiết kế kho tiền của bạn bị rơi vào tay bọn trộm. Lần này, Microsoft xác nhận có 2 lỗ hổng rơi vào tình trạng này:
-
CVE-2026-21262 (Điểm CVSS 8.8): Lỗ hổng leo thang đặc quyền trong SQL Server. Nếu khai thác thành công, kẻ tấn công có thể qua mặt các lớp kiểm soát truy cập mạng và giành được quyền quản trị viên tối cao (SQL sysadmin) để tự do thao túng cơ sở dữ liệu doanh nghiệp của bạn.
-
CVE-2026-26127 (Điểm CVSS 7.5): Lỗ hổng từ chối dịch vụ (DoS) trong nền tảng .NET. Nó cho phép những kẻ tấn công không cần xác thực đánh sập các ứng dụng và dịch vụ đang chạy của bạn bằng kỹ thuật đọc bộ nhớ ngoài giới hạn.
Cảnh giác với "Cái bẫy" Microsoft Office và Excel
Không chỉ máy chủ mới gặp nguy hiểm, dân văn phòng cũng là mục tiêu béo bở trong tháng này. Có 3 lỗ hổng nghiêm trọng nhắm thẳng vào các bộ công cụ quen thuộc:
-
CVE-2026-26110 & CVE-2026-26113: Đây là hai lỗ hổng thực thi mã từ xa (RCE) trên Microsoft Office. Điểm rùng rợn nhất là tính năng Xem trước (Preview Pane) cũng là một con đường lây nhiễm. Tức là bạn thậm chí chưa cần mở hẳn file Word ra, chỉ cần click một lần để xem trước nội dung, mã độc đã có thể kích hoạt ngầm trên máy bạn.
-
CVE-2026-26144 (Điểm CVSS 7.5): Lỗ hổng rò rỉ thông tin trên Microsoft Excel. Hacker có thể dùng các đoạn mã độc tinh vi đánh lừa hệ thống để âm thầm đọc trộm các phần bộ nhớ chứa dữ liệu bảo mật từ hệ thống nội bộ của bạn.
3 Bước hành động khẩn cấp cho tháng 3
Đừng để hệ thống của bạn phơi mình trước bão. Hãy thực hiện ngay các bước "sơ cứu" sau:
-
Cập nhật Windows ngay lập tức: Vào Settings (Cài đặt) > Windows Update và nhấn Check for updates. Tải xuống toàn bộ các bản vá tháng 3/2026 và quan trọng nhất là phải Khởi động lại (Restart) máy tính sau khi tải xong.
-
Tạm tắt tính năng Preview Pane: Trong lúc chờ cập nhật hoàn tất, hãy mở File Explorer, vào tab View và tắt tính năng Preview pane (Khung xem trước) để ngăn chặn mã độc lây nhiễm thụ động từ các file tài liệu.
-
Rà soát hệ thống SQL Server: Đối với các quản trị viên IT, hãy ưu tiên áp dụng bản vá cho các máy chủ chạy SQL Server và kiểm tra lại toàn bộ phân quyền truy cập mạng để chặn đứng lỗ hổng CVE-2026-21262.
Bản vá đã có sẵn, phần còn lại nằm ở quyết định của bạn. Sự trì hoãn hôm nay có thể là một thảm họa dữ liệu vào ngày mai.
Hương - Theo TheHackerNews
.png)
.png)
.png)
.png)
