Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã ra lệnh cho các cơ quan liên bang bảo vệ hệ thống Windows của họ khỏi lỗ hổng bị khai thác trong các cuộc tấn công zero-day.
Được theo dõi là CVE-2026-32202, lỗ hổng bảo mật này đã được báo cáo bởi công ty an ninh mạng Akamai. Công ty mô tả đây là lỗ hổng rò rỉ hàm băm NTLM không cần nhấp chuột bị bỏ lại sau khi Microsoft vá không đầy đủ lỗ hổng thực thi mã từ xa (CVE-2026-21510) vào tháng 2.
Như CERT-UA tiết lộ, nhóm gián điệp mạng APT28 (còn gọi là UAC-0001 và Fancy Bear) của Nga đã khai thác CVE-2026-21510 trong các cuộc tấn công chống lại Ukraine và các nước EU vào tháng 12 năm 2025 như một phần của chuỗi khai thác cũng nhắm vào lỗ hổng tệp LNK (CVE-2026-21513).
Microsoft cho biết những kẻ tấn công từ xa khai thác thành công lỗ hổng CVE-2026-32202 trong các cuộc tấn công có độ phức tạp thấp bằng cách gửi cho "nạn nhân một tệp độc hại mà nạn nhân sẽ phải thực thi" có thể "xem một số thông tin nhạy cảm" trên các hệ thống chưa được vá.
Akamai giải thích thêm trong một báo cáo hôm thứ Năm rằng lỗ hổng bảo mật này có thể bị khai thác trong các cuộc tấn công băm truyền để lấy cắp băm NTLM (mật khẩu băm). Sau đó, chúng được sử dụng để xác thực là người dùng bị xâm phạm, cho phép kẻ tấn công lây lan ngang qua mạng hoặc đánh cắp dữ liệu nhạy cảm.
Microsoft cũng đã gắn cờ lỗ hổng CVE-2026-3220 bị khai thác trong các cuộc tấn công vào Chủ nhật sau khi BleepingComputer liên hệ vào tuần trước để hỏi tại sao lời khuyên được đưa ra trong Bản vá thứ ba tháng 4 năm 2026 lại có đánh giá khả năng khai thác là 'Đã phát hiện khai thác' trong khi lỗ hổng này được gắn cờ là chưa được khai thác.
Khi được yêu cầu thêm thông tin về các cuộc tấn công CVE-2026-32202 (bao gồm cả liệu tin tặc APT28 có khai thác lỗ hổng zero-click này hay không), Microsoft nói với BleepingComputer rằng họ chưa xác định được bằng chứng nào cho thấy CVE này có liên quan đến hoạt động APT28 dựa trên những gì họ đã quan sát được cho đến nay.
Fed yêu cầu vá lỗi trước ngày 12 tháng 5
Vào thứ Ba, CISA đã thêm CVE-2026-32202 vào Danh mục các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan của Chi nhánh hành pháp dân sự liên bang (FCEB) vá các điểm cuối và máy chủ Windows của họ trong vòng hai tuần, trước ngày 12 tháng 5, theo quy định của Chỉ thị hoạt động ràng buộc (BOD) ngày 22-01.
Cơ quan an ninh mạng cảnh báo:“Loại lỗ hổng này là phương thức tấn công thường xuyên của các tác nhân mạng độc hại và gây ra rủi ro đáng kể cho doanh nghiệp liên bang”.
"Áp dụng các biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp, tuân theo hướng dẫn hiện hành của BOD 22-01 dành cho dịch vụ đám mây hoặc ngừng sử dụng sản phẩm nếu không có biện pháp giảm nhẹ."
Mặc dù BOD 22-01 chỉ áp dụng cho các cơ quan liên bang Hoa Kỳ nhưng CISA đã kêu gọi tất cả các nhóm bảo mật ưu tiên triển khai các bản vá cho CVE-2026-32202 và bảo mật mạng của tổ chức của họ càng sớm càng tốt.
Các tác nhân đe dọa cũng đang tích cực khai thác ba lỗ hổng bảo mật Windows được tiết lộ gần đây (được đặt tên là BlueHammer, RedSun và UnDefend) trong các cuộc tấn công nhằm giành được đặc quyền HỆ THỐNG hoặc quản trị viên nâng cao, trong đó hai lỗ hổng sau vẫn đang chờ bản vá.
Cập nhật ngày 30 tháng 4, 06:04 EDT:Đã thêm tuyên bố của Microsoft.
99% những điều thần thoại được tìm thấy vẫn chưa được vá.
AI đã xâu chuỗi bốn lỗ hổng zero-day thành một lần khai thác vượt qua cả hộp cát kết xuất và hệ điều hành. Một làn sóng khai thác mới đang đến.
Tại Hội nghị thượng đỉnh về xác thực tự động (ngày 12 và 14 tháng 5), hãy xem cách xác thực tự động, giàu ngữ cảnh tìm ra những gì có thể khai thác được, chứng minh các biện pháp kiểm soát được giữ nguyên và đóng vòng lặp khắc phục.
Yêu cầu vị trí của bạn