Microsoft sửa hơn 70 lỗi bảo mật trong Windows, Office và Azure

Hôm qua là Thứ Ba Bản vá và Microsoft đã cung cấp các bản cập nhật bảo mật nhằm giải quyết 77 lỗ hổng mới, trong đó 5 lỗ hổng bảo mật trong Windows đã bị khai thác ngoài tự nhiên và một số lỗ hổng khác trong Windows và Office được gắn nhãn là “critical.”

Microsoft cung cấp chi tiết thưa thớt về các lỗ hổng trong Hướng dẫn cập nhật bảo mật, nhưng Dustin Childs đi sâu vào chi tiết hơn Blog ZDI của Trend Micro với con mắt dành cho các quản trị viên quản lý mạng công ty.

Bản vá thứ Ba tiếp theo dự kiến sẽ diễn ra vào ngày 10 tháng 6 năm 2025.

Lỗ hổng bảo mật trong Windows

Một số lượng lớn các lỗ hổng—44 this time—are trải rộng trên nhiều phiên bản Windows khác nhau (10, 11 và Server) mà Microsoft vẫn cung cấp các bản cập nhật bảo mật. Mặc dù Windows 7 và 8.1 không còn được đề cập trong các báo cáo bảo mật nhưng chúng vẫn có thể dễ bị tấn công. Nếu yêu cầu hệ thống của bạn cho phép, bạn nên nâng cấp lên Windows 11 24H2 trước tháng 10 để tiếp tục nhận được các bản cập nhật bảo mật.

Lỗ hổng Zero-day Windows

Theo Microsoft, đã có các cuộc tấn công vào tổng cộng năm lỗ hổng bảo mật trong Windows, với các CVE-2025-30397 lỗ hổng thực thi mã từ xa (RCE) nổi bật. Nếu Edge là trình duyệt mặc định của bạn, tất cả chỉ cần một cú nhấp chuột vào một liên kết được tạo thủ công để buộc Edge chuyển sang chế độ Internet Explorer (một tính năng cũ vẫn còn trong tất cả các phiên bản Windows vì nền tảng MSHTML vẫn được một số ứng dụng cũ sử dụng).

Các lỗ hổng zero-day khác bao gồm các vấn đề EoP (Elevation of Privilege), mà kẻ tấn công có thể sử dụng để cấp cho mã của họ quyền cao hơn, thậm chí cả quyền hệ thống. Thông thường, các lỗ hổng như vậy được sử dụng kết hợp với lỗ hổng RCE. Điều này cho phép mã xâm nhập được thực thi với đầy đủ quyền hệ thống, điều mà các nhóm ransomware thích làm.

Những lỗ hổng này ảnh hưởng đến Windows Common Log File System Driver (CVE-2025-32701, CVE-2025-32706), Trình điều khiển chức năng phụ trợ cho WinSock (CVE-2025-32709) và thư viện lõi Desktop Window Manager (CVE-2025-30400).

Lỗ hổng nghiêm trọng của Windows

Microsoft đã xác định hai lỗ hổng liên quan chặt chẽ trong Remote Desktop Client là rất quan trọng (CVE-2025-29966, CVE-2025-29967). Nếu người dùng kết nối với máy chủ RDP độc hại, mã có thể được đưa vào và thực thi. Ngoài ra, lỗ hổng RCE CVE-2025-29833 trong Virtual Machine Bus yêu cầu khai thác ủy quyền của người dùng đã đăng nhập.

Lỗ hổng bảo mật trong Office

Microsoft đã sửa 18 lỗ hổng trong dòng sản phẩm Office của mình, trong đó có 17 lỗ hổng RCE. Hai lỗ hổng sử dụng sau khi miễn phí (CVE-2025-30377 và CVE-2025-30386) được phân loại là quan trọng. Đối với hai lỗ hổng RCE này, cửa sổ xem trước là một vectơ tấn công, nghĩa là nó có thể cho phép tấn công thành công khi một tệp đã chuẩn bị sẵn được hiển thị trong bản xem trước. Người dùng thậm chí không phải nhấp vào nó hoặc mở nó.

Microsoft phân loại các lỗ hổng khác là rủi ro cao. Chín trong số các lỗ hổng RCE này nằm trong Excel, ba lỗ hổng ảnh hưởng đến SharePoint, cộng với một lỗ hổng trong PowerPoint và Outlook. Với những lỗ hổng này, một cuộc tấn công thành công đòi hỏi người dùng phải mở một tệp được chuẩn bị đặc biệt. Mã độc sau đó có thể được thực thi với quyền của người dùng.

Lỗ hổng bảo mật trong dịch vụ đám mây

Vào ngày 8 tháng 5, Microsoft đã sửa sáu lỗ hổng bảo mật trong Azure, Dataverse và Power Apps được phân loại là nghiêm trọng. Chúng bao gồm CVE-2025-29813 (một lỗ hổng EoP trong Azure) và hai lỗ hổng Azure khác. Khách hàng của Microsoft không cần phải thực hiện bất kỳ hành động nào.