Microsoft phát hành bản vá cho 622 lỗ hổng, hai zero-day đang bị khai thác
- Evelyn Carter

- 1 ngày trước
- 5 phút đọc
Ngày 14/7/2026, Microsoft phát hành bản cập nhật bảo mật xử lý 622 lỗ hổng, trong đó có 416 lỗi thuộc Windows. Hai zero-day CVE-2026-56164 trên Microsoft SharePoint Server và CVE-2026-56155 trên Active Directory Federation Services đang bị khai thác thực tế và đã được CISA đưa vào danh mục Known Exploited Vulnerabilities.
Quy mô của bản cập nhật tháng 7/2026 đặt ra khối lượng kiểm thử và triển khai đáng kể đối với các đội ngũ IT. Tuy nhiên, việc xử lý 622 lỗ hổng không có nghĩa doanh nghiệp nên ưu tiên hoàn toàn theo điểm CVSS hoặc nhãn Critical.

Điều gì đã xảy ra trong Microsoft Patch Tuesday tháng 7/2026?
Microsoft công bố các bản cập nhật cho 622 lỗ hổng trên Windows và nhiều sản phẩm trong hệ sinh thái của hãng. Rapid7 ghi nhận Windows chiếm 416 lỗ hổng, còn Cisco Talos cho biết 57 lỗi trong đợt phát hành được Microsoft xếp hạng Critical.
Hai CVE được Microsoft đánh dấu đã bị khai thác thực tế là CVE-2026-56164 và CVE-2026-56155. Ngoài ra, CVE-2026-50661 liên quan đến Windows BitLocker đã được công khai trước khi bản vá được phát hành, nhưng chưa có xác nhận đang bị khai thác trên diện rộng.
CVE | Thành phần bị ảnh hưởng | Trạng thái | Điều kiện khai thác chính | Mức ưu tiên |
CVE-2026-56164 | Microsoft SharePoint Server | Đang bị khai thác, có trong CISA KEV | Từ xa, không cần xác thực | Khẩn cấp |
CVE-2026-56155 | Active Directory Federation Services | Đang bị khai thác, có trong CISA KEV | Kẻ tấn công đã có quyền truy cập cục bộ | Khẩn cấp |
CVE-2026-55040 | Microsoft SharePoint Server | Đã công khai, chưa xác nhận khai thác đại trà | Vượt qua xác thực JWT | Cao |
CVE-2026-50661 | Windows BitLocker | Đã công khai | Cần tiếp cận vật lý thiết bị | Theo rủi ro tài sản |
Quy mô lần này cũng lớn hơn đáng kể so với bản cập nhật Microsoft tháng 6/2026 xử lý hơn 200 lỗ hổng. Việc theo dõi các đợt phát hành liên tiếp giúp doanh nghiệp đánh giá xu hướng tăng khối lượng bản vá và điều chỉnh năng lực kiểm thử, triển khai cũng như giám sát sau cập nhật.
Vì sao hai zero-day trên SharePoint và AD FS cần được ưu tiên?
CVE-2026-56164 là lỗ hổng thiếu xác thực đối với một chức năng quan trọng trong Microsoft SharePoint Server. Lỗ hổng cho phép kẻ tấn công không được cấp quyền thực hiện hành vi nâng cao đặc quyền qua mạng, không cần có tài khoản hoặc tương tác từ người dùng.
Các sản phẩm bị ảnh hưởng gồm SharePoint Server 2016, SharePoint Server 2019 và SharePoint Server Subscription Edition. CISA khuyến nghị các tổ chức kiểm tra hệ thống SharePoint tại chỗ, cài đặt bản vá hiện hành và xác minh việc tích hợp Antimalware Scan Interface, hay AMSI, để tăng khả năng kiểm tra các yêu cầu web độc hại.
Doanh nghiệp đang sử dụng SharePoint tại chỗ có thể tham khảo thêm phân tích về các lỗ hổng nghiêm trọng trên Microsoft SharePoint. Nội dung này cung cấp thêm bối cảnh về lý do máy chủ SharePoint thường trở thành mục tiêu và các điểm kiểm soát nên được rà soát sau khi vá.
Doanh nghiệp cần làm gì ngay sau khi Microsoft phát hành bản vá?
Doanh nghiệp cần tách hai luồng công việc: xử lý khẩn cấp các lỗ hổng đang bị khai thác và kiểm thử tác động vận hành của thay đổi Kerberos. Trì hoãn toàn bộ bản cập nhật để chờ kiểm tra RC4 có thể kéo dài thời gian phơi nhiễm của SharePoint và AD FS.
Checklist xử lý trong 24 giờ đầu
Lập danh sách toàn bộ SharePoint Server 2016, 2019, Subscription Edition và máy chủ AD FS.
Xác định các máy chủ SharePoint được công khai ra Internet hoặc có thể truy cập từ vùng mạng ít tin cậy.
Ưu tiên cài bản vá CVE-2026-56164 và CVE-2026-56155 theo quy trình thay đổi khẩn cấp.
Kiểm tra và bật AMSI trên các máy chủ SharePoint tại chỗ.
Rà soát Event ID 1132, 1133 và các cảnh báo liên quan đến DKM container trên AD FS.
Bảo toàn nhật ký IIS, SharePoint, Windows Security, PowerShell và AD FS trước khi log bị xoay vòng.
Tìm kiếm tài khoản mới, thay đổi quyền bất thường, web shell hoặc tiến trình PowerShell đáng ngờ.
Kiểm thử các ứng dụng sử dụng tài khoản dịch vụ Kerberos sau cập nhật.
Đối chiếu tài sản nội bộ với CISA KEV thay vì chỉ dựa vào mức điểm CVSS.
Góc nhìn chuyên gia từ IPSIP Việt Nam cho thấy điều gì?
SharePoint thường lưu tài liệu nội bộ, hồ sơ dự án, dữ liệu cộng tác và quy trình phê duyệt. AD FS nằm trong chuỗi tin cậy của nhiều ứng dụng doanh nghiệp. Sự cố tại hai hệ thống có thể ảnh hưởng đến dữ liệu, quyền truy cập, hoạt động đăng nhập một lần và tính liên tục của quy trình kinh doanh.
Việc ưu tiên bản vá cần dựa trên trạng thái khai thác, mức độ tiếp xúc, vai trò của tài sản và khả năng kẻ tấn công mở rộng quyền. Điểm CVSS vẫn hữu ích, nhưng không nên được sử dụng như tiêu chí duy nhất.
Doanh nghiệp có thể tự triển khai những gì?
Đội ngũ nội bộ nên bắt đầu bằng Asset Inventory, quản lý bản vá dựa trên rủi ro, phân quyền tối thiểu và giám sát tập trung. Máy chủ SharePoint và AD FS cần được đặt trong các vùng mạng phù hợp, giới hạn cổng quản trị và không cho phép truy cập trực tiếp không cần thiết từ Internet.
Doanh nghiệp cũng cần diễn tập kịch bản phản ứng khi phát hiện web shell, tài khoản quản trị mới hoặc token đăng nhập bất thường. Mục tiêu là rút ngắn thời gian từ lúc nhận cảnh báo đến khi cô lập hệ thống, bảo toàn bằng chứng và xác định phạm vi xâm nhập.
Giải pháp nào của IPSIP Việt Nam phù hợp?
Trung tâm Điều hành An ninh mạng SOC 24/7 phù hợp với nhu cầu tập trung và tương quan nhật ký từ SharePoint, AD FS, Windows Server và thiết bị mạng. Giám sát liên tục hỗ trợ phát hiện hành vi hậu xâm nhập mà việc cài bản vá đơn thuần không thể tự động loại bỏ.

Dịch vụ Pentest có thể hỗ trợ xác minh các đường tấn công còn tồn tại giữa SharePoint, hệ thống định danh và những tài sản dữ liệu quan trọng. Phạm vi kiểm thử cần được xác định rõ và triển khai trong điều kiện được kiểm soát để hạn chế ảnh hưởng đến hệ thống sản xuất.
IT Helpdesk và Quản trị vận hành IT phù hợp với doanh nghiệp thiếu nguồn lực kiểm kê hệ thống, thử nghiệm bản vá, triển khai theo từng nhóm và theo dõi lỗi tương thích. Năng lực vận hành đặc biệt quan trọng khi tổ chức phải xử lý đồng thời cập nhật bảo mật, Kerberos RC4 và kế hoạch nâng cấp SharePoint.
Microsoft Patch Tuesday tháng 7/2026 cho thấy quản lý lỗ hổng không còn là bài toán cài đặt mọi bản vá theo cùng một thứ tự. Với doanh nghiệp Việt Nam, SharePoint và AD FS cần được xem là tài sản trọng yếu vì chúng liên quan trực tiếp đến dữ liệu cộng tác và chuỗi tin cậy định danh.
Hành động ưu tiên là cài bản vá cho hai zero-day đang bị khai thác, kiểm tra dấu hiệu xâm nhập và rà soát các phụ thuộc Kerberos RC4. Trong dài hạn, doanh nghiệp cần thay thế sản phẩm đã hết hỗ trợ, hoàn thiện danh mục tài sản và áp dụng quy trình ưu tiên dựa trên rủi ro thực tế.
Nguồn tham khảo









Bình luận