Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 1

I. Các lỗ hổng bảo mật được công bố trong tháng 1

1. Microsoft

Microsoft đã phát hành bản cập nhật bảo mật Patch Tuesday tháng 1/2026 nhằm khắc phục 114 lỗ hổng, bao gồm 3 lỗ hổng zero-day, trong đó 1 lỗ hổng đang bị khai thác tích cực ngoài thực tế và 2 lỗ hổng đã được công bố công khai.

Đợt cập nhật lần này xử lý 8 lỗ hổng mức Critical, bao gồm:

• 6 lỗ hổng Remote Code Execution (RCE)
• 2 lỗ hổng Elevation of Privilege (EoP)

Theo phân loại của Microsoft, một lỗ hổng được xem là zero-day nếu đã bị khai thác hoặc công bố công khai trong khi chưa có bản vá chính thức tại thời điểm thông tin được tiết lộ.

          a. Zero-day đang bị khai thác tích cực

CVE-2026-20805 – Desktop Window Manager Information Disclosure Vulnerability Microsoft đã vá một lỗ hổng Information Disclosure trong Desktop Window Manager (DWM), cho phép kẻ tấn công đọc địa chỉ bộ nhớ user-mode liên quan đến remote ALPC port. Lỗ hổng được phát hiện bởi Microsoft Threat Intelligence Center (MSTIC) và MSRC. Hiện Microsoft chưa công bố chi tiết kỹ thuật khai thác, tuy nhiên việc lỗ hổng đã bị khai thác ngoài thực tế cho thấy mức độ rủi ro cao đối với các hệ thống chưa được cập nhật.

          b. Các zero-day đã được công bố công khai

CVE-2026-21265 – Secure Boot Certificate Expiration Security Feature Bypass:
Microsoft cảnh báo các Windows Secure Boot certificates (2011) sắp hết hạn, khiến các hệ thống không cập nhật có nguy cơ bị bypass Secure Boot. Các bản vá hiện tại gia hạn chứng chỉ để duy trì Secure Boot trust chain, đảm bảo tính toàn vẹn của quá trình khởi động.

CVE-2023-31096 – Windows Agere Soft Modem Driver Elevation of Privilege:
Lỗ hổng EoP tồn tại trong third-party Agere Soft Modem driver đi kèm Windows. Trong bản January 2026 Patch Tuesday, Microsoft đã loại bỏ các driver agrsm64.sys và agrsm.sys thông qua cumulative update. Lỗ hổng do Zeze (TeamT5) phát hiện và báo cáo.

          c. Các bản cập nhật gần đây từ các công ty khác
Ngoài Microsoft, nhiều hãng công nghệ khác cũng đã phát hành bản vá hoặc thông báo bảo mật trong tháng 1/2026, bao gồm:

• Adobe tung ra các bản cập nhật bảo mật cho hàng loạt sản phẩm phổ biến như InDesign, Illustrator, InCopy, Bridge, ColdFusion và bộ công cụ Substance 3D.
• Cisco phát hành bản vá cho một lỗ hổng trong Identity Services Engine (ISE); đáng chú ý, mã khai thác mẫu (proof-of-concept) đã được công bố công khai.
• Fortinet cập nhật bảo mật cho nhiều sản phẩm, trong đó có bản vá cho hai lỗ hổng thực thi mã từ xa (RCE).
• D-Link xác nhận một lỗ hổng mới đang bị khai thác ngoài thực tế, ảnh hưởng tới các dòng router đã ngừng hỗ trợ (end-of-life).
• Google công bố Android Security Bulletin tháng 1, vá một lỗ hổng Critical trong thành phần “DD+ Codec” liên quan đến công nghệ Dolby.
• jsPDF khắc phục một lỗ hổng Critical, có thể bị lợi dụng để đưa các tệp tin trái phép từ server trong quá trình tạo file PDF.
• n8n vá một lỗ hổng mức độ nghiêm trọng nhất, có tên “Ni8mare”, cho phép kẻ tấn công chiếm quyền điều khiển máy chủ.
• SAP phát hành các bản cập nhật bảo mật tháng 1 cho nhiều sản phẩm, bao gồm bản vá cho lỗ hổng code injection có điểm CVSS 9.9/10 trong SAP Solution Manager.
• ServiceNow công bố một lỗ hổng Critical cho phép leo thang đặc quyền trong ServiceNow AI Platform.
• Trend Micro vá một lỗ hổng bảo mật Critical trong Apex Central (bản on-premise), có thể bị khai thác để thực thi mã với quyền SYSTEM.
• Veeam phát hành các bản cập nhật bảo mật cho Backup & Replication, trong đó có một lỗ hổng RCE mức Critical.

Dưới đây là danh sách đầy đủ các lỗ hổng đã được khắc phục trong các bản cập nhật Patch Tuesday tháng 01/2026:

Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper. 

2. Linux

Chi tiết về các lỗ hổng có thể xem tại Advisories.  

3. VMware

Chi tiết về các bản vá có thể xem tại Advisories.

II. Một số sự kiện an ninh mạng đáng chú ý

1. Lỗi cấu hình AWS CodeBuild làm lộ nguy cơ tấn công chuỗi cung ứng

Một lỗi cấu hình nghiêm trọng trong AWS CodeBuild, được Wiz phát hiện và đặt tên là CodeBreach, có thể cho phép kẻ tấn công chiếm quyền kiểm soát các GitHub repository do AWS quản lý (bao gồm AWS JavaScript SDK). Lỗ hổng xuất phát từ việc cấu hình sai regex filter webhook (thiếu ký tự ^ và $), cho phép giả mạo GitHub actor ID, kích hoạt CI build trái phép và làm rò rỉ GitHub admin token (PAT). 

AWS đã khắc phục sự cố vào 09/2025 sau quá trình responsible disclosure, đồng thời xoay vòng credential và tăng cường bảo vệ pipeline. Dù không ghi nhận bị khai thác thực tế, sự cố này một lần nữa cho thấy CI/CD pipeline là mục tiêu có rủi ro cao, tương tự các sự cố từng xảy ra với GitHub Actions.

2. Lỗ hổng nghiêm trọng trong WordPress Modular DS Plugin bị khai thác tích cực để chiếm quyền Admin

Patchstack công bố lỗ hổng CVE-2026-23550 (CVSS 10.0) trong plugin WordPress Modular DS, cho phép unauthenticated privilege escalation. Lỗ hổng ảnh hưởng tới các phiên bản ≤ 2.5.1 và đã được vá trong phiên bản 2.5.2. Plugin hiện có hơn 40.000 lượt cài đặt. 

Nguyên nhân xuất phát từ cơ chế routing lỏng lẻo, cho phép bypass xác thực khi bật “direct request” với tham số origin=mo, từ đó truy cập route /login/ và đăng nhập với quyền admin. Các cuộc tấn công đã được ghi nhận từ 13/01/2026. Người dùng được khuyến nghị cập nhật ngay, kiểm tra dấu hiệu xâm nhập, xoay vòng credential và quét mã độc toàn hệ thống. 

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.    

Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.      

Liên hệ với chúng tôi để được tư vấn :  

• Fanpage: https://www.facebook.com/fptsmartcloud/  
• Email: support@fptcloud.com  
• Hotline: 1900 638 399