Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, các nguy cơ mất an toàn thông tin tiếp tục gia tăng với nhiều hình thức ngày càng tinh vi và khó lường. Trung tuần nhiều hãng công nghệ lớn đồng loạt công bố các bản vá bảo mật trong tháng 4/2026. Đáng chú ý, các lỗ hổng tồn tại trên diện rộng, nếu không được khắc phục kịp thời có thể bị các đối tượng xấu lợi dụng để xâm nhập trái phép, chiếm quyền kiểm soát hệ thống và đánh cắp dữ liệu.
Đối với Microsoft
Microsoft đã phát hành bản vá Patch Tuesday tháng 4/2026 để xử lý tổng cộng 164 lỗ hổng bảo mật, trong đó có 8 lỗi được đánh giá nghiêm trọng và 02 lỗ hổng zero-day. Các lỗ hổng này bao gồm 90 lỗ hổng leo thang đặc quyền, 20 lỗ hổng thực thi mã từ xa, 21 lỗ hổng tiết lộ thông tin, 9 lỗ hổng từ chối dịch vụ, 14 lỗ hổng vượt qua tính năng bảo mật, 8 lỗ hổng giả mạo và 2 lỗ hổng Tampering; chưa bao gồm 9 lỗ hổng trong Mariner, Azure và Bing đã được khắc phục trước đó.
Bên cạnh đó, nhiều lỗ hổng thực thi mã từ xa trong Microsoft Office (Word và Excel) có thể bị khai thác thông qua preview pane hoặc khi người dùng mở các tài liệu độc hại. Điều này đặt ra nguy cơ trực tiếp đối với những người thường xuyên xử lý tệp đính kèm.
Trong 2 lỗ hổng zero-day được vá, lỗ hổng CVE-2026-32201 ảnh hưởng đến SharePoint bị lợi dụng trong các cuộc tấn công. Lỗ hổng này xuất phát từ việc kiểm tra tính hợp lệ của dữ liệu đầu vào, cho phép kẻ tấn công thực hiện hành vi giả mạo qua mạng, từ đó có thể xem và thay đổi thông tin nhạy cảm. Lỗ hổng còn lại là CVE-2026-33825 trong Microsoft Defender, cho phép leo thang đặc quyền nếu khai thác thành công có thể cho phép kẻ tấn công có được đặc quyền SYSTEM.
Đối với Adobe
Hãng đã công bố các bản vá cho 55 lỗ hổng trên 11 sản phẩm. Phần lớn các cảnh báo được đánh giá ở mức độ “priority” ưu tiên là 3, cho thấy khả năng bị khai thác không cao. Tuy nhiên, 5 lỗ hổng nghiêm trọng trong ColdFusion lại có mức priority 1, tiềm ẩn nguy cơ cao do sản phẩm này từ lâu đã là mục tiêu của các tác nhân đe dọa. Các lỗ hổng này có thể bị lợi dụng để vượt qua cơ chế bảo mật, đọc tệp từ hệ thống và thực thi mã tùy ý.
Ngoài ra, Adobe cũng khắc phục các lỗ hổng thực thi mã trong nhiều sản phẩm như Acrobat Reader, InDesign, InCopy, FrameMaker, Connect, Bridge, Photoshop và Illustrator; đồng thời xử lý các lỗ hổng nghiêm trọng khác như tấn công DoS và leo thang đặc quyền trong Experience Manager Screens và DNG SDK.
Công ty không phát hiện bất kỳ lỗ hổng nào bị khai thác trên thực tế. Tuy nhiên, vài ngày trước Adobe đã công bố các bản vá cho CVE-2026-34621, một lỗ hổng zero-day chưa được vá trên Acrobat và Reader, dường như đã bị khai thác trong nhiều tháng.
Đối với SAP
SAP đã xử lý 20 lỗ hổng bảo mật, trong đó nổi bật là CVE-2026-27681 (CVSS 9.9). Đây là lỗ hổng SQL injection nghiêm trọng trong Business Planning and Consolidation và Business Warehouse, có thể dẫn đến thực thi mã tùy ý. Thông qua việc lạm dụng chức năng tải lên, kẻ tấn công có thể truy cập trực tiếp cơ sở dữ liệu để đọc và chỉnh sửa dữ liệu mà không cần sự tương tác của người dùng. SAP đã xử lý bằng cách vô hiệu hóa mã thực thi liên quan.
Ngoài ra, lỗ hổng CVE-2026-34256 trong ERP và S/4 HANA cho phép thực thi chương trình ABAP và ghi đè các chương trình hiện có. Bên cạnh đó, 16 ghi chú đề cập đến các lỗ hổng có mức độ trung bình có thể dẫn đến các nguy cơ như tiết lộ thông tin, tấn công DoS, XSS, chèn mã, chuyển hướng độc hại và thực thi mã trong trình duyệt; cùng với các lỗi chèn mã trong NetWeaver và Landscape Transformation. SAP không đề cập đến việc bất kỳ lỗ hổng nào trong số này bị khai thác trên thực tế. Người dùng được khuyến cáo nên áp dụng các bản vá bảo mật càng sớm càng tốt.
Đối với Ivanti
Phiên bản Neurons for ITSM 2025.4 đã được phát hành nhằm khắc phục hai lỗ hổng bảo mật. Trong đó, CVE-2026-4913 (CVSS 5.7) cho phép kẻ tấn công đã xác thực vẫn có thể truy cập hệ thống ngay cả khi tài khoản đã bị vô hiệu hóa. Lỗ hổng thứ hai là CVE-2026-4914 (CVSS 5.4), một lỗi XSS stored có thể bị khai thác từ xa để thu thập thông tin hạn chế từ các phiên người dùng khác, với điều kiện cần có xác thực và sự tương tác của người dùng.
Khuyến nghị
Việc chủ động phòng ngừa và nâng cao cảnh giác trước các lỗ hổng bảo mật không chỉ là trách nhiệm của các cơ quan chuyên môn mà còn là yêu cầu đối với mỗi cá nhân, tổ chức nhằm bảo đảm an toàn thông tin một cách bền vững:
- Các tổ chức, doanh nghiệp cần thường xuyên theo dõi thông tin cảnh báo an toàn thông tin tại https://antoanthongtin.vn và kịp thời cập nhật các bản vá bảo mật là yêu cầu cấp thiết; chủ động rà soát hệ thống, đánh giá mức độ ảnh hưởng của các lỗ hổng, đồng thời triển khai các biện pháp khắc phục phù hợp nhằm giảm thiểu rủi ro.
- Người dùng cá nhân cần nâng cao ý thức bảo mật, không sử dụng các phần mềm lỗi thời, thường xuyên cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất, đồng thời thực hiện các biện pháp bảo vệ cơ bản để hạn chế nguy cơ bị mất an toàn thông tin trong môi trường số.
Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao
Nguồn tham khảo: https://antoanthongtin.vn.