Sau kỳ cập nhật Patch Tuesday, Microsoft vẫn tiếp tục phát hành các bản vá bảo mật định kỳ hằng tháng. Mới đây, hãng đã tung ra một bản vá khẩn cấp ngoài lịch trình, nhằm xử lý loạt lỗ hổng nghiêm trọng trong Dịch vụ Định tuyến và Truy cập Từ xa (RRAS). Những lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa và thậm chí chiếm quyền kiểm soát thiết bị. Ba lỗ hổng được định danh gồm CVE-2026-25172, CVE-2026-25173 và CVE-2026-26111.
Bản vá hotpatch cho Windows 11
Đáng chú ý, bản cập nhật ngoài luồng này được đánh giá là khá bất thường, bởi nó khắc phục ba lỗ hổng vốn đã được xử lý trong bản cập nhật Patch Tuesday tháng 3. Theo thông báo từ Microsoft, sự cố chỉ ảnh hưởng đến một số trường hợp cụ thể, liên quan đến các thiết bị doanh nghiệp sử dụng bản vá và được dùng để quản lý máy chủ từ xa.
Cả ba lỗ hổng đều liên quan đến công cụ quản lý RRAS của Windows. Chỉ cần kết nối tới một máy chủ độc hại, chuỗi tấn công có thể bị kích hoạt. Đây đều là các lỗ hổng thực thi mã từ xa, xuất phát từ lỗi tràn số nguyên hoặc vòng lặp trong RRAS, cho phép kẻ tấn công đã được xác thực thực thi mã qua mạng.
Ảnh minh họa
Nói cách khác, kẻ tấn công có quyền truy cập trong miền có thể lợi dụng tiện ích RRAS để dụ người dùng gửi yêu cầu đến máy chủ độc hại. Dù các lỗ hổng đã được vá trước đó, bản cập nhật khẩn cấp vẫn cần thiết vì bản vá Patch Tuesday yêu cầu khởi động lại hệ thống — điều không phải lúc nào cũng khả thi với các hệ thống và dịch vụ quan trọng.
Đây là lý do cơ chế vá lỗi nóng (hotpatch) được áp dụng. Phương pháp này cho phép tải và cài đặt bản vá trực tiếp trong bộ nhớ của các tiến trình đang chạy mà không cần khởi động lại thiết bị.
Microsoft cũng cho biết sẽ bật tính năng cập nhật bảo mật hotpatch theo mặc định thông qua dịch vụ Windows Autopatch cho khách hàng doanh nghiệp, bắt đầu từ bản cập nhật tháng 5, áp dụng với các tổ chức quản lý thiết bị bằng Intune và Graph API.
Theo hãng, việc chuyển sang hotpatch giúp rút ngắn đáng kể thời gian vá lỗi. Khảo sát trên các doanh nghiệp sở hữu từ 30.000 đến 70.000 thiết bị cho thấy họ đạt 90% mức độ tuân thủ bản vá trong chưa đến một nửa thời gian so với trước đây, mà không cần thay đổi chính sách. Hiện đã có hơn 10 triệu thiết bị đang sử dụng cơ chế này.
Làm rõ về bản cập nhật khẩn cấp
Microsoft khẳng định bản vá khẩn cấp chỉ được cung cấp cho các thiết bị đã kích hoạt tính năng hotpatch, và người dùng Windows thông thường không cần thực hiện thêm thao tác nào. Theo Bleeping Computer, hãng từng phát hành các bản vá cho những lỗ hổng này trước đó, nhưng lần này tái phát hành nhằm đảm bảo bao phủ đầy đủ mọi trường hợp bị ảnh hưởng.
Phía Microsoft cũng cho biết các lỗ hổng RRAS có thể tác động đến thiết bị doanh nghiệp chạy Windows 11 phiên bản 24H2 và 25H2 đã triển khai hotpatch. Để xử lý, hãng đã phát hành bản cập nhật khẩn cấp KB5084597, cho phép cài đặt nhanh mà không cần khởi động lại.
Hiện chưa ghi nhận dấu hiệu các lỗ hổng này bị khai thác trên thực tế, song Microsoft khuyến nghị người dùng tuân thủ hướng dẫn CVE mới nhất để đảm bảo an toàn.
