I. Các lỗ hổng bảo mật được công bố trong tháng 02 

1. Microsoft 

Microsoft đã phát hành bản cập nhật bảo mật cho 58 lỗ hổng, trong đó có 6 zero day đang bị khai thác trong thực tế và 3 zero-day đã được công bố công khai. 

Đợt Patch Tuesday này cũng khắc phục 5 lỗ hổng mức Critical, bao gồm: 

• 3 lỗ hổng Elevation of Privilege 
• 2 lỗ hổng Information Disclosure 

Số lượng lỗ hổng theo từng loại như sau: 

• 25 Elevation of Privilege vulnerabilities 
• 5 Security Feature Bypass vulnerabilities 
• 12 Remote Code Execution vulnerabilities 
• 6 Information Disclosure vulnerabilities 
• 3 Denial of Service vulnerabilities 
• 7 Spoofing vulnerabilities 

Khi BleepingComputer thống kê các bản vá Patch Tuesdat, chỉ những lỗ hổng được Microsoft phát hành trong ngày hôm đó mới được tính. Vì vậy, con số này không bao gồm 3 lỗ hổng của Microsoft Edge đã được vá trước đó trong tháng. 

Microsoft bắt đầu triển khai Secure Boot certificates mới để thay thế các certificate từ năm 2011 sẽ hết hạn vào tháng 6/2026. Các Windows quality updates sẽ thu thập thông tin để xác định thiết bị có đủ điều kiện nhận certificatemới hay không, và việc cấp phát sẽ được thực hiện từng bước (phased rollout) sau khi thiết bị ghi nhận đủ tín hiệu cập nhật thành công nhằm đảm bảo an toàn. Các cập nhật không liên quan đến bảo mật được phát hành cùng đợt này bao gồm Windows 11 KB5077181, KB5075941 và Windows 10 KB5075912. 

6 zero-day đang bị khai thác 

CVE-2026-21510 – Windows Shell Security Feature Bypass: Lỗ hổng cho phép attacker bypass Windows SmartScreen và các Windows Shell security prompts khi nạn nhân mở một link hoặc shortcut file được tạo đặc biệt. Khi khai thác thành công, attacker có thể chạy attacker-controlled content mà không có cảnh báo bảo mật cho người dùng. Lỗ hổng nhiều khả năng liên quan đến việc bypass cơ chế Mark of the Web (MoTW). 

CVE-2026-21513 – MSHTML Framework Security Feature Bypass: Đây là lỗ hổng Security Feature Bypass trong MSHTML Framework cho phép attacker bypass cơ chế bảo mật qua network do lỗi trong protection mechanismcủa MSHTML. Microsoft chưa công bố chi tiết cách thức khai thác, nhưng lỗ hổng đã được ghi nhận đang bị khai thác trong thực tế. 

CVE-2026-21514 – Microsoft Word Security Feature Bypass: Lỗ hổng trong Microsoft Word cho phép attacker bypass các OLE mitigations trong Microsoft 365 và Office, vốn được thiết kế để bảo vệ khỏi vulnerable COM/OLE controls. Attacker cần gửi Office file độc hại và lừa nạn nhân mở file, tuy nhiên lỗ hổng không thể khai thác thông qua Office Preview Pane. 

CVE-2026-21519 – Desktop Window Manager Elevation of Privilege: Lỗ hổng Elevation of Privilege trong Desktop Window Manager cho phép attacker sau khi khai thác thành công có thể leo thang đặc quyền lên mức SYSTEM trên hệ thống Windows. Microsoft chưa công bố chi tiết kỹ thuật về phương thức khai thác. 

CVE-2026-21525 – Windows Remote Access Connection Manager Denial of Service: Lỗ hổng Denial of Service trong Windows Remote Access Connection Manager do lỗi null pointer dereference, cho phép attacker gây crashdịch vụ trên máy local. Exploit của lỗ hổng này được phát hiện trong một public malware repository vào cuối năm 2025. 

CVE-2026-21533 – Windows Remote Desktop Services Elevation of Privilege: Lỗ hổng Elevation of Privilege trong Windows Remote Desktop Services do improper privilege management, cho phép attacker leo thang đặc quyền local. Exploit có thể sửa đổi service configuration key để thêm một user mới vào nhóm Administrator, giúp attacker kiểm soát hệ thống. 

Các bản cập nhật gần đây từ các hãng khác 

Các nhà cung cấp khác cũng đã phát hành các bản cập nhật hoặc advisory trong tháng 2/2026, bao gồm: 

• Adobe phát hành các bản cập nhật bảo mật cho Audition, After Effects, InDesign, Substance 3D, Adobe Lightroom Classic và nhiều phần mềm khác. Không có lỗ hổng nào trong số này đang bị khai thác. 
• BeyondTrust phát hành bản cập nhật bảo mật để vá một lỗ hổng Critical RCE trong phần mềm Remote Support (RS) và Privileged Remote Access (PRA). 
• CISA ban hành một binding operational directive mới yêu cầu các cơ quan liên bang loại bỏ các network edge devices đã hết thời gian hỗ trợ. 
• Cisco phát hành các bản cập nhật bảo mật cho Secure Web Appliance, Cisco Meeting Management và nhiều sản phẩm khác. 
• Fortinet phát hành các bản cập nhật bảo mật cho FortiOS và FortiSandbox. 
• Google phát hành Android February Security Bulletin, tuy nhiên bản tin này không bao gồm bản vá bảo mật nào. 
• n8n đã vá các lỗ hổng critical có thể được sử dụng để bypass bản vá trước đó của lỗ hổng RCE CVE-2025-68613. 
• SAP phát hành bản cập nhật bảo mật tháng 2 cho nhiều sản phẩm, bao gồm các bản vá cho hai lỗ hổng Critical. 

Ngoài ra, mặc dù không phải là bản cập nhật bảo mật, Microsoft đã bắt đầu triển khai chức năng Sysmon tích hợp sẵn trong các bản Windows 11 Insider builds, điều mà nhiều quản trị viên Windows có thể thấy hữu ích. 

Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 02 năm 2026. 

Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.  

2. Linux  

Chi tiết về các lỗ hổng có thể xem tại Advisories. 

3. VMware  

Chi tiết về các bản vá có thể xem tại Advisories 

II. Một số sự kiện an ninh mạng đáng chú ý: 

1. Lỗ hổng RoguePilot trong GitHub Codespaces khiến Copilot có thể làm rò rỉ GITHUB_TOKEN 

Lỗ hổng RoguePilot trong GitHub Codespaces cho phép attacker chèn prompt injection vào một GitHub issue, khiến GitHub Copilot thực thi các chỉ dẫn độc hại khi người dùng mở Codespace từ issue đó. Điều này có thể dẫn đến rò rỉ dữ liệu nhạy cảm như GITHUB_TOKEN và thậm chí cho phép attacker kiểm soát repository. Lỗ hổng đã được Microsoft vá sau khi được Orca Security phát hiện. 

Ngoài ra, các nghiên cứu gần đây cho thấy nhiều kỹ thuật tấn công mới nhắm vào LLM và AI agents như GRP-Obliteration (loại bỏ cơ chế an toàn của mô hình), ShadowLogic (backdoor trong AI agent), Semantic Chaining (imagejailbreak) và Promptware, một dạng “malware cho AI” sử dụng prompt để thực hiện các giai đoạn của cyber attack lifecycle. 

2. Tấn công chuỗi cung ứng vào Cline CLI 2.3.0 khiến OpenClaw bị cài đặt trên hệ thống của các lập trình viên. 

Một software supply chain attack đã xảy ra với Cline CLI 2.3.0, khi attacker sử dụng npm publish token bị compromise để phát hành phiên bản chứa script postinstall tự động cài OpenClaw trên máy developer. Sự cố ảnh hưởng đến những người cài đặt gói trong khoảng 8 giờ ngày 17/02/2026, và sau đó đã được khắc phục bằng Cline 2.4.0, đồng thời token bị thu hồi. 

Cuộc tấn công có thể liên quan đến kỹ thuật Clinejection, trong đó attacker dùng prompt injection trong GitHub issue để thao túng AI agent (Claude) trong workflow tự động, dẫn đến arbitrary code execution và đánh cắp publishtoken. Điều này cho thấy rủi ro ngày càng lớn của AI trong software supply chain, khi AI agent có quyền cao trong quy trình CI/CD. 

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.     

Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.       

Liên hệ với chúng tôi để được tư vấn :   

• Fanpage: https://www.facebook.com/fptsmartcloud/   
• Email: support@fptcloud.com   
• Hotline: 1900 638 399