Kiến thức về xu hướng công nghệ FPT Cloud

I. Các lỗ hổng bảo mật được công bố trong tháng 05  1. Microsoft May 2026 Patch Tuesday khắc phục 120 lỗ hổng bảo mật   Hôm nay là Patch Tuesday tháng 5/2026 của Microsoft, bao gồm các bản cập nhật bảo mật cho 120 lỗ hổng và không ghi nhận zero-day nào được công bố. Đợt Patch Tuesday này khắc phục 17 lỗ hổng mức Critical, bao gồm:  14 lỗ hổng Remote Code Execution  2 lỗ hổng Elevation of Privilege  1 lỗ hổng Information Disclosure   Số lượng lỗ hổng theo từng loại như sau:  61 Elevation of Privilege vulnerabilities  6 Security Feature Bypass vulnerabilities  31 Remote Code Execution vulnerabilities   14 Information Disclosure vulnerabilities   8 Denial of Service vulnerabilities   13 Spoofing vulnerabilities   Khi BleepingComputer thống kê các bản vá Patch Tuesday, chỉ những lỗ hổng được Microsoft phát hành trong ngày hôm đó mới được tính. Vì vậy, con số này không bao gồm các lỗ hổng trên Mariner, Azure, Copilot, Microsoft Teams và Microsoft Partner Center đã được Microsoft vá trước đó trong tháng. Ngoài ra, 131 lỗ hổng của Microsoft Edge/Chromium đã được Google vá trong tháng này cũng không được tính vào thống kê.  Các cập nhật không liên quan đến bảo mật được phát hành cùng đợt này bao gồm:  Windows 11 KB5089549 & KB5087420   Windows 10 KB5087544 Extended Security Update (ESU)  Các lỗ hổng đáng chú ý: Microsoft không công bố zero-day nào trong đợt Patch Tuesday tháng này. Tuy nhiên, có một số lỗ hổng được vá hôm nay mà các quản trị viên IT và Security cần đặc biệt lưu ý.  Trong đợt cập nhật lần này, Microsoft đã khắc phục nhiều lỗ hổng trong Microsoft Office, Word và Excel có thể dẫn tới Remote Code Execution (RCE).  Các lỗ hổng này có thể bị khai thác khi người dùng mở file độc hại, từ đó cho phép thực thi mã từ xa trên hệ thống. Nhiều lỗ hổng trong số đó có thể bị khai thác thông qua Preview Pane, do đó Microsoft khuyến nghị cập nhật Microsoft Office sớm nhất có thể, đặc biệt với các hệ thống thường xuyên nhận file đính kèm qua email.  Danh sách các lỗ hổng liên quan tới Microsoft Office, Word và Excel có trong báo cáo May 2026 Patch Tuesday.  Một số lỗ hổng đáng chú ý khác gồm:  CVE-2026-35421 – Windows GDI Remote Code Execution Vulnerability: Lỗ hổng này có thể bị khai thác khi mở file Enhanced Metafile (EMF) độc hại bằng Microsoft Paint.   CVE-2026-40365 – Microsoft SharePoint Server Remote Code Execution Vulnerability: Attacker đã xác thực có thể thực hiện tấn công qua mạng để thực thi mã từ xa trên máy chủ SharePoint.   CVE-2026-41096 – Windows DNS Client Remote Code Execution Vulnerability: Máy chủ DNS do attacker kiểm soát có thể gửi phản hồi DNS được tạo đặc biệt tới hệ thống Windows dễ bị ảnh hưởng, khiến DNS Client xử lý sai phản hồi và gây lỗi memory corruption. Điều này có thể cho phép attacker thực thi mã từ xa trên hệ thống mục tiêu.   Các bản cập nhật gần đây từ các hãng khác  Các nhà cung cấp khác cũng đã phát hành các bản cập nhật hoặc advisory trong tháng 5/2026, bao gồm:  Adobe đã phát hành các bản cập nhật bảo mật cho After Effects, Premiere Pro, Media Encoder, Commerce, Illustrator và nhiều sản phẩm khác.  AMD công bố bản cập nhật cho lỗ hổng leo thang đặc quyền liên quan tới CPU operation (op/µop) cache trên các bộ xử lý dựa trên kiến trúc Zen 2.  Apple phát hành các bản cập nhật bảo mật cho macOS, iOS, watchOS, iPadOS, visionOS và tvOS.  Cisco phát hành các bản cập nhật bảo mật cho nhiều sản phẩm, bao gồm một lỗ hổng DoS yêu cầu khởi động lại thủ công hệ thống bị ảnh hưởng để khôi phục hoạt động.   Fortinet phát hành bản vá cho hai lỗ hổng Critical trong FortiSandbox và FortiAuthenticator.  Google phát hành bản tin bảo mật Android tháng 5, khắc phục 10 lỗ hổng.  Ivanti phát hành bản vá cho lỗ hổng Remote Code Execution mức High Severity trên Endpoint Manager Mobile (EPMM), vốn đã bị khai thác trong các cuộc tấn công zero-day.   Mozilla phát hành các bản cập nhật bảo mật cho 5 lỗ hổng của Firefox.   Palo Alto Networks cảnh báo về một lỗ hổng Critical trên PAN-OS User-ID Authentication Portal đã bị khai thác như zero-day trong thực tế. Hiện chưa có bản vá chính thức, tuy nhiên đã có biện pháp giảm thiểu (mitigation).   SAP phát hành bản cập nhật bảo mật tháng 5, bao gồm bản vá cho 1 lỗ hổng mức High Severity và 2 lỗ hổng mức Critical.   vm2 phát hành bản cập nhật bảo mật cho một lỗ hổng Critical trong thư viện sandbox phổ biến dành cho Node.js.   Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 05 năm 2026.  Tag  CVE ID  CVE Title  Severity  M365 Copilot  CVE-2026-26164  M365 Copilot Information Disclosure Vulnerability  Critical  Microsoft Dynamics 365 (on-premises)  CVE-2026-42898  Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability  Critical  Microsoft Office  CVE-2026-42831  Microsoft Office Remote Code Execution Vulnerability  Critical  Microsoft Office  CVE-2026-40363  Microsoft Office Remote Code Execution Vulnerability  Critical  Microsoft Office  CVE-2026-40358  Microsoft Office Remote Code Execution Vulnerability  Critical  Microsoft Office SharePoint  CVE-2026-40365  Microsoft SharePoint Server Remote Code Execution Vulnerability  Critical  Microsoft Office Word  CVE-2026-40361  Microsoft Word Remote Code Execution Vulnerability  Critical  Microsoft Office Word  CVE-2026-40367  Microsoft Word Remote Code Execution Vulnerability  Critical  Microsoft Office Word  CVE-2026-40366  Microsoft Word Remote Code Execution Vulnerability  Critical  Microsoft Office Word  CVE-2026-40364  Microsoft Word Remote Code Execution Vulnerability  Critical  Microsoft SSO Plugin for Jira & Confluence  CVE-2026-41103  Microsoft SSO Plugin for Jira & Confluence Elevation of Privilege Vulnerability  Critical  Microsoft Windows DNS  CVE-2026-41096  Windows DNS Client Remote Code Execution Vulnerability  Critical  Windows GDI  CVE-2026-35421  Windows GDI Remote Code Execution Vulnerability  Critical  Windows Hyper-V  CVE-2026-40402  Windows Hyper-V Elevation of Privilege Vulnerability  Critical  Windows Native WiFi Miniport Driver  CVE-2026-32161  Windows Native WiFi Miniport Driver Remote Code Execution Vulnerability  Critical  Windows Netlogon  CVE-2026-41089  Windows Netlogon Remote Code Execution Vulnerability  Critical  Windows Win32K - GRFX  CVE-2026-40403  Windows Graphics Component Remote Code Execution Vulnerability  Critical  🔗Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.   2. Linux công bố các lỗ hổng trong tháng 05  CVE  Mô tả lỗ hổng  CVE-2026-8578  Lỗ hổng đọc ngoài vùng nhớ (Out-of-bounds Read) trong GPU của Google Chrome trên Linux trước phiên bản 148.0.7778.168 cho phép attacker từ xa, sau khi đã compromise được renderer process, có thể rò rỉ dữ liệu cross-origin thông qua một trang HTML được tạo đặc biệt. Mức độ nghiêm trọng theo đánh giá của Chromium: Medium.  CVE-2026-8576  Lỗi triển khai không phù hợp (Inappropriate Implementation) trong cơ chế CORS của Google Chrome trên Linux và ChromeOS trước phiên bản 148.0.7778.168 cho phép attacker từ xa rò rỉ dữ liệu cross-origin thông qua một trang HTML được tạo đặc biệt. Mức độ nghiêm trọng theo đánh giá của Chromium: Medium.  CVE-2026-8535  Lỗ hổng đọc ngoài vùng nhớ (Out-of-bounds Read) trong thành phần Media của Google Chrome trên Linux và ChromeOS trước phiên bản 148.0.7778.168 cho phép attacker từ xa, sau khi đã compromise được renderer process, có thể thu thập thông tin nhạy cảm từ bộ nhớ tiến trình thông qua một file JPEG được tạo đặc biệt. Mức độ nghiêm trọng theo đánh giá của Chromium: High.  🔗 Chi tiết về các lỗ hổng có thể xem tại Advisories.  3. VMWare công bố các lỗ hổng trong tháng 05  CVE  Mô tả lỗ hổng  CVE-2026-41702  VMware Fusion chứa lỗ hổng TOCTOU (Time-of-check Time-of-use) xảy ra trong quá trình xử lý bởi một SETUID binary. Một attacker có quyền local non-administrative trên hệ thống có thể khai thác lỗ hổng này để leo thang đặc quyền lên root trên thiết bị đã cài đặt VMware Fusion.  🔗 Chi tiết về các bản vá có thể xem tại Advisories  II. Một số sự kiện an ninh mạng đáng chú ý 1. Lỗ hổng 0-Day "MiniPlasma" trên Windows cho phép leo thang đặc quyền lên SYSTEM trên các hệ thống đã cập nhật bản vá đầy đủ Nhà nghiên cứu bảo mật Chaotic Eclipse vừa công bố mã khai thác thử nghiệm (PoC) cho một lỗ hổng zero-day mới mang tên MiniPlasma, nằm trong trình điều khiển cldflt.sys của Windows. Lỗ hổng này cho phép kẻ tấn công chiếm quyền kiểm soát cao nhất (SYSTEM) trên các máy tính dù đã cài đặt đầy đủ các bản vá lỗi. Đáng chú ý, đây vốn là một lỗi bảo mật cũ từng được báo cáo từ năm 2020 và được cho là đã vá qua mã lỗi CVE-2020-17103, nhưng nghiên cứu mới cho thấy lỗ hổng này thực chất vẫn tồn tại và hoạt động nguyên vẹn do bản vá lỗi chưa triệt để hoặc đã bị hủy bỏ một cách âm thầm.  Chuyên gia bảo mật Will Dormann cũng xác nhận mã khai thác MiniPlasma hoạt động rất "mượt mà" trên các hệ thống Windows 11 vừa cập nhật phiên bản mới nhất tháng 5/2026 (ngoại trừ bản thử nghiệm Insider Preview Canary). Lỗ hổng hoạt động dựa trên cơ chế tấn công tranh chấp (race condition) và được cảnh báo là có thể ảnh hưởng đến tất cả các phiên bản Windows. Sự việc này tiếp tục dấy lên lo ngại lớn về an ninh mạng, nhất là khi một lỗ hổng leo thang đặc quyền khác liên quan đến thành phần này cũng vừa bị tin tặc khai thác vào tháng 12/2025 vừa qua.  🔗 Thông tin chi tiết hơn xem thêm tại đây 2. Lỗ hổng CVE-2026-42945 của NGINX bị khai thác trong thực tế, gây sập tiến trình Worker và có nguy cơ thực hiện mã từ xa (RCE)  Lỗ hổng nghiêm trọng CVE-2026-42945 (điểm CVSS 9.2) ảnh hưởng đến các phiên bản NGINX từ 0.6.27 đến 1.30.0 hiện đang bị các nhóm tin tặc tích cực khai thác trong thực tế. Đây là lỗi tràn bộ đệm phân vùng Heap (heap buffer overflow) nằm trong mô-đun cấu hình lại URL (ngx_http_rewrite_module), xuất hiện từ năm 2008 nhưng vừa mới được công bố. Lỗ hổng cho phép kẻ tấn công không cần xác thực gửi các yêu cầu HTTP đặc biệt để làm sập tiến trình xử lý (worker processes) gây tấn công từ chối dịch vụ (DoS). Ngoài ra, nguy cơ thực thi mã từ xa (RCE) hoàn toàn có thể xảy ra nếu hệ thống mục tiêu tắt tính năng bảo vệ chống tấn công bộ nhớ ASLR và sử dụng một cấu hình NGINX đặc thù mà kẻ tấn công biết trước.  Song song đó, tổ chức VulnCheck cũng phát hiện làn sóng tấn công nhắm vào hai lỗ hổng nghiêm trọng khác (điểm CVSS 9.3) trong ứng dụng quản lý hạ tầng trung tâm dữ liệu mã nguồn mở openDCIM. Hai lỗ hổng này bao gồm lỗi thiếu kiểm tra quyền hạn (CVE-2026-28515) và lỗi chèn câu lệnh hệ điều hành (CVE-2026-28517). Chuyên gia cảnh báo rằng các lỗ hổng này có thể bị chuỗi liên kết (chaining) lại với nhau chỉ qua 5 yêu cầu HTTP để chiếm quyền điều khiển hệ thống và cài đặt mã độc (PHP web shell). Hoạt động tấn công hiện tại được ghi nhận bắt nguồn từ một địa chỉ IP Trung Quốc, sử dụng công cụ dò quét lỗ hổng ứng dụng AI tự động để tìm kiếm các mục tiêu sơ hở.  Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn. Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud. Liên hệ với chúng tôi để được tư vấn:    Fanpage: https://www.facebook.com/fptsmartcloud/ Email: support@fptcloud.com Hotline: 1900 638 399

Trong quá trình hiện đại hóa nền tảng dữ liệu, thách thức của doanh nghiệp không chỉ nằm ở việc khai thác dữ liệu nhanh hơn, mà còn ở khả năng kiểm soát dữ liệu một cách nhất quán và an toàn. Khi dữ liệu phân tán trên nhiều hệ thống, các vấn đề như phân quyền rời rạc, khó kiểm toán, thiếu chuẩn hóa thông tin và rủi ro với dữ liệu nhạy cảm ngày càng trở nên rõ rệt. Trước bài toán đó, FPT Data Governance & Security là lời giải giúp doanh nghiệp xây dựng giải pháp quản trị và bảo mật dữ liệu tập trung, thống nhất hơn trong toàn hệ thống. FPT Data Governance & Security là gì? FPT Data Governance & Security là giải pháp quản trị và bảo mật dữ liệu tập trung trong FPT Data Platform, được xây dựng trên các nền tảng mở gồm Apache Ranger, OpenMetadata và cung cấp hoàn toàn trên nền tảng đám mây (cloud-native) của FPT Cloud. Giải pháp phù hợp với các kiến trúc dữ liệu đa dạng như Lakehouse, Data Warehouse, và các nguồn dữ liệu được truy cập qua SQL layer. Kiến trúc FPT Data Governance & Security được thiết kế xoay quanh hai luồng chính: luồng thực thi và luồng quản trị dữ liệu. Luồng thực thi: người dùng truy vấn qua Trino; Ranger kiểm tra policy trước khi dữ liệu được trả về. Luồng quản trị: OpenMetadata quản lý metadata và tag; tag được đồng bộ sang Ranger để tạo chính sách theo ngữ cảnh nghiệp vụ. Các thành phần này tạo thành một Data Governance & Security Control Plane, giúp doanh nghiệp quản trị metadata, chính sách truy cập và luồng thực thi dữ liệu phân tích trên một lớp thống nhất. Mô hình kiến trúc tổng quát FPT Data Governance & Security FPT Data Governance & Security giúp doanh nghiệp kiến tạo nền tảng quản trị và bảo mật dữ liệu toàn diện, với những lợi ích vượt trội: Quản lý quyền truy cập dữ liệu tập trung: Thiết lập cơ chế kiểm soát chặt chẽ, cho phép doanh nghiệp xác định chính xác đối tượng, phạm vi và mục đích khai thác dữ liệu. Dễ tìm kiếm và dễ khai thác dữ liệu: Người dùng có thể hiểu dữ liệu nhanh hơn nhờ thông tin được mô tả rõ ràng, có người phụ trách, có luồng dữ liệu, bộ thuật ngữ nghiệp vụ và các đặc điểm dữ liệu khác. Tăng độ tin cậy khi sử dụng dữ liệu: Dữ liệu được chuẩn hóa tốt hơn, hỗ trợ hiệu quả cho báo cáo, phân tích và các mô hình Data Product/Data Mesh. Bảo vệ dữ liệu nhạy cảm: Các chính sách như masking và row filter giúp giới hạn dữ liệu hiển thị theo vai trò hoặc ngữ cảnh sử dụng. Hỗ trợ giám sát, kiểm toán và tuân thủ: Lịch sử truy cập dữ liệu qua Trino được ghi nhận đầy đủ, giúp doanh nghiệp dễ dàng theo dõi, kiểm tra và đáp ứng các yêu cầu compliance. Các nhóm tính năng chính FPT Data Governance & Security được thiết kế với hai nhóm tính năng chính: Governance và Security. Trong đó, nhóm Governance giúp doanh nghiệp hiểu, chuẩn hóa và quản lý dữ liệu một cách rõ ràng hơn; còn nhóm Security tập trung vào kiểm soát quyền truy cập, bảo vệ dữ liệu nhạy cảm và hỗ trợ các yêu cầu giám sát, kiểm toán, tuân thủ. Nhóm Governance Nhóm tính năng Governance hỗ trợ doanh nghiệp minh bạch hóa tài sản dữ liệu, giúp xác định chính xác quyền sở hữu, lộ trình sử dụng và kiểm chứng độ tin cậy trước khi đưa vào khai thác thực tế. Các năng lực chính gồm: Data Catalog (Danh mục dữ liệu): Quản lý danh sách database, schema, table, column cùng mô tả và thông tin liên quan. Tính năng này giúp người dùng tìm đúng dữ liệu nhanh hơn, giảm phụ thuộc vào việc hỏi đáp thủ công giữa các team. Business Glossary (Bộ thuật ngữ nghiệp vụ): Chuẩn hóa các khái niệm, nhờ đó, các phòng ban có cùng cách hiểu về dữ liệu, hạn chế tình trạng cùng một chỉ số nhưng mỗi team diễn giải theo một cách khác nhau. Ownership & Stewardship (Chủ sở hữu và người phụ trách dữ liệu): Gắn người phụ trách cho từng dataset hoặc data product. Đây là cơ sở để xác định ai chịu trách nhiệm với dữ liệu, ai xử lý yêu cầu truy cập và ai theo dõi các vấn đề liên quan đến chất lượng dữ liệu. Classification & Tagging (Phân loại và gắn nhãn dữ liệu): Hỗ trợ gắn nhãn cho dataset hoặc column. Việc phân loại này giúp doanh nghiệp nhận diện dữ liệu quan trọng, dữ liệu nhạy cảm và tạo cơ sở để áp dụng chính bảo mật phù hợp, đồng thời giảm việc phân quyền thủ công theo từng bảng. Lineage (Luồng dữ liệu): Theo dõi dữ liệu đi từ nguồn nào, qua các bước xử lý nào và tạo ra bảng hoặc dataset nào. Tính năng này giúp doanh nghiệp đánh giá tác động khi có thay đổi, phục vụ kiểm toán và xác định nguyên nhân khi dữ liệu phát sinh sai lệch. Data Profiling (Phân tích đặc điểm dữ liệu): Thống kê các đặc điểm như số dòng, giá trị nhỏ nhất/lớn nhất hoặc phân bố dữ liệu... Nhờ đó, người dùng có thêm cơ sở đánh giá mức độ tin cậy của dữ liệu trước khi sử dụng cho báo cáo, AI hoặc phân tích. Data Product/ Domain (Dữ liệu sản phẩm/ Miền dữ liệu): Hỗ trợ quản lý dữ liệu theo domain như Sales, Finance, Risk, Customer hoặc Operation. Cách tiếp cận này phù hợp với mô hình Data Mesh, trong đó từng domain có thể sở hữu, quản lý và áp dụng chính sách cho dữ liệu của mình. Nhóm Security Nhóm tính năng Security tập trung vào việc thực thi chính sách bảo mật dữ liệu tập trung, đặc biệt với các dữ liệu nhạy cảm hoặc cần đáp ứng yêu cầu tuân thủ. Đây là lớp giúp doanh nghiệp đảm bảo người dùng chỉ được truy cập đúng dữ liệu, đúng phạm vi và đúng quyền được cấp. Các năng lực chính gồm: RBAC (Phân quyền theo vai trò): Kiểm soát quyền truy cập dữ liệu theo user, group hoặc role, giúp doanh nghiệp quản lý rõ nhóm người dùng nào được xem, chỉnh sửa hoặc quản trị dữ liệu. ABAC/ Tag-based Policy (Chính sách theo thuộc tính hoặc nhãn dữ liệu): Áp dụng chính sách truy cập dựa trên các tag dữ liệu được đồng bộ từ OpenMetadata sang Ranger. Nhờ đó, doanh nghiệp có thể kiểm soát truy cập theo ngữ cảnh dữ liệu, ví dụ dữ liệu PII chỉ cho nhóm Compliance truy cập, hoặc dữ liệu Finance chỉ mở cho nhóm tài chính và kiểm toán. Column-level Security (Bảo mật theo cột dữ liệu): Giới hạn quyền truy cập với một số cột dữ liệu nhạy cảm, ví dụ các trường liên quan đến thông tin cá nhân, số điện thoại, lương hoặc mã định danh. Dynamic Data Masking (Che dữ liệu động): Tự động che hoặc ẩn một phần dữ liệu nhạy cảm khi người dùng truy vấn, giúp giảm rủi ro lộ thông tin nhưng vẫn cho phép khai thác dữ liệu, đảm bảo quy định PII, Nghị định 85. Row-level Security (Bảo mật theo dòng dữ liệu): Giới hạn phạm vi dữ liệu người dùng được nhìn thấy theo nhóm, vai trò, khu vực, chi nhánh hoặc domain được phân quyền. Audit (Ghi nhận lịch sử truy cập): Bao gồm người truy cập, dữ liệu được truy cập, thời điểm và trạng thái truy vấn nhằm hỗ trợ giám sát, kiểm toán và điều tra khi cần. Policy Centralization (Tập trung hóa chính sách): Quản lý policy tại một điểm thống nhất thay vì cấu hình rời rạc ở từng nguồn dữ liệu. Cách làm này giúp giảm thao tác thủ công và đảm bảo tính nhất quán trong kiểm soát truy cập. FPT Data Governance & Security cung cấp lớp quản trị và bảo mật dữ liệu xuyên suốt Data Lakehouse. Sự kết hợp này giúp FPT Data Platform hỗ trợ doanh nghiệp khai thác dữ liệu linh hoạt hơn, đồng thời tăng cường khả năng kiểm soát truy cập, bảo vệ dữ liệu nhạy cảm và đáp ứng các yêu cầu về tuân thủ trong quá trình hiện đại hóa nền tảng dữ liệu. Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud: Hotline: 1900 638 399 Email: support@fptcloud.com Support: m.me/fptsmartcloud

Nhằm nâng cao tính chủ động trong vận hành, cải thiện hiệu suất xử lý backup job và tăng độ minh bạch trong giám sát dịch vụ, FPT Cloud chính thức cập nhật FPT Backup Native 1.7 với loạt cải tiến quan trọng.  Phiên bản mới tập trung vào 4 mục tiêu chính: Cho phép xóa các restore point cũ không còn nhu cầu sử dụng, bổ sung cơ chế thông báo khi backup job bị disable, tối ưu tốc độ thực thi job, đồng thời cải thiện quản lý dữ liệu lưu trữ và retention policy. Những nâng cấp này giúp đội ngũ kỹ thuật giảm thao tác thủ công, kiểm soát tốt hơn tài nguyên backup và duy trì hệ thống vận hành ổn định hơn trong thực tế. 1. Tối ưu tốc độ xử lý Job với Job Quota Enforcement  FPT Backup Native 1.7 tối ưu cơ chế refresh quota và cập nhật trạng thái tài nguyên, giúp rút ngắn chu kỳ đồng bộ từ 10 phút xuống còn 5 phút.  Việc rút ngắn thời gian đồng bộ không chỉ giúp hệ thống phản hồi nhanh hơn mà còn góp phần nâng cao hiệu quả điều phối trong quá trình thực thi backup job. Với các môi trường có nhiều tác vụ vận hành đồng thời, đây là cải tiến mang ý nghĩa thực tế, giúp giảm độ trễ, tăng tính liền mạch và cải thiện hiệu suất xử lý tổng thể của dịch vụ backup. 2. Phát triển luồng Auto Requeue trên EPS  Bên cạnh hiệu năng xử lý, FPT Backup Native 1.7 cũng được bổ sung cơ chế Auto Requeue trên EPS nhằm xử lý các action thất bại do lỗi tạm thời từ hạ tầng hoặc hệ thống. Trước đây, khi action bị fail, quá trình xử lý thường dừng lại hoàn toàn và yêu cầu đội ngũ kỹ thuật can thiệp thủ công để thực hiện lại. Với cơ chế mới, hệ thống có thể tự động đưa action trở lại hàng đợi để re-run theo cơ chế kiểm soát phù hợp.  Lợi ích thực tế của tính năng này gồm:  Tăng tỷ lệ thành công củajob: Nhiều lỗi tạm thời được hệ thống tự xử lý lại thay vì kết thúc fail ngay từ đầu. Giảm thao tác manual re-run: Đội ngũ vận hành không cần can thiệp lặp lại cho các lỗi ngắn hạn, giúp tiết kiệm thời gian xử lý. Cải thiện mức độ tự động hóa: Hệ thống vận hành ổn định hơn, giảm phụ thuộc vào thao tác thủ công. Tăng độ ổn định hệ thống: Dịch vụ backup duy trì trạng thái hoạt động ổn định hơn trong quá trình thực thi thực tế. 3. Hỗ trợ xóa Restore Point trực tiếp trên Unify Portal  FPT Backup Native 1.7 bổ sung khả năng Delete Restore Point trực tiếp trên Unify Portal cho toàn bộ 4 cụm dịch vụ backup từ 2021 đến 2024.  Về mặt vận hành, đây là nâng cấp giúp đồng bộ tính năng quản trị giữa các cụm dịch vụ, đồng thời trao thêm quyền chủ động cho doanh nghiệp trong việc kiểm soát dữ liệu backup. Khi các restore point không cần thiết được dọn dẹp kịp thời, hệ thống có thể giảm tải dung lượng lưu trữ, tối ưu tài nguyên hạ tầng và hỗ trợ doanh nghiệp kiểm soát chi phí hiệu quả hơn. Hình 1: Action delete restore points 4. Cải thiện Upload Multipart trên S3 cho cụm 2021–2022  Phiên bản 1.7 tiếp tục tối ưu cơ chế upload multipart lên S3 object storage cho các cụm dịch vụ 2021–2022.  Đây là cập nhật tập trung vào hiệu năng và độ ổn định của quá trình truyền tải dữ liệu, đặc biệt quan trọng với các workload backup dung lượng lớn. Nhờ nâng cấp cơ chế này, hệ thống giúp giảm lỗi upload thất bại, tăng độ ổn định khi thực hiện backup dữ liệu lớn và cải thiện hiệu suất truyền tải dữ liệu một cách rõ rệt. 5. Khởi tạo thông báo khi backup job bị disable  Không chỉ tập trung vào hiệu năng, FPT Backup Native 1.7 còn tăng cường khả năng giám sát dịch vụ thông qua cơ chế Notify khi backup job bị disable, áp dụng cho cả user và admin. Khi backup job bị vô hiệu hóa, hệ thống sẽ chủ động gửi thông báo để các bên liên quan nắm bắt kịp thời tình trạng dịch vụ.  Tính năng này mang lại giá trị rõ rệt trong vận hành thực tế. Thay vì chỉ phát hiện sự cố khi phát sinh hậu quả, đội ngũ kỹ thuật có thể sớm nhận biết job đã bị disable, xác định nguyên nhân và chủ động đưa ra hướng xử lý. Điều này không chỉ giúp tăng tính minh bạch trong quản trị, mà còn hạn chế rủi ro job bị tắt ngoài ý muốn, đồng thời hỗ trợ truy vết nguyên nhân sự cố dễ dàng hơn trong những tình huống cần kiểm tra hoặc đối soát.   Hình 2: Job Disable bởi hệ thống  Hình 3: Job Disable bởi user Hoàn thiện năng lực vận hành backup cho doanh nghiệp  Có thể thấy, FPT Backup Native 1.7 không đơn thuần là một bản cập nhật tính năng, mà là bước hoàn thiện quan trọng ở lớp vận hành dịch vụ backup. Thông qua các cải tiến về, phiên bản mới giúp doanh nghiệp chủ động hơn trong quản trị backup, giảm tải áp lực vận hành thủ công và nâng cao độ ổn định của toàn hệ thống.  Trong bối cảnh dữ liệu ngày càng trở thành tài sản cốt lõi của doanh nghiệp, những cải tiến ở lớp vận hành như FPT Backup Native 1.7 không chỉ giúp đội ngũ kỹ thuật làm việc hiệu quả hơn, mà còn góp phần bảo đảm tính liên tục và an toàn cho toàn bộ hệ thống.  Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud:  Hotline: 1900 638 399 Email: support@fptcloud.com Support: m.me/fptsmartcloud 

I. Các lỗ hổng bảo mật được công bố trong tháng 02  1. Microsoft  Microsoft đã phát hành bản cập nhật bảo mật cho 58 lỗ hổng, trong đó có 6 zero day đang bị khai thác trong thực tế và 3 zero-day đã được công bố công khai.  Đợt Patch Tuesday này cũng khắc phục 5 lỗ hổng mức Critical, bao gồm:  3 lỗ hổng Elevation of Privilege  2 lỗ hổng Information Disclosure  Số lượng lỗ hổng theo từng loại như sau:  25 Elevation of Privilege vulnerabilities  5 Security Feature Bypass vulnerabilities  12 Remote Code Execution vulnerabilities  6 Information Disclosure vulnerabilities  3 Denial of Service vulnerabilities  7 Spoofing vulnerabilities  Khi BleepingComputer thống kê các bản vá Patch Tuesdat, chỉ những lỗ hổng được Microsoft phát hành trong ngày hôm đó mới được tính. Vì vậy, con số này không bao gồm 3 lỗ hổng của Microsoft Edge đã được vá trước đó trong tháng.  Microsoft bắt đầu triển khai Secure Boot certificates mới để thay thế các certificate từ năm 2011 sẽ hết hạn vào tháng 6/2026. Các Windows quality updates sẽ thu thập thông tin để xác định thiết bị có đủ điều kiện nhận certificatemới hay không, và việc cấp phát sẽ được thực hiện từng bước (phased rollout) sau khi thiết bị ghi nhận đủ tín hiệu cập nhật thành công nhằm đảm bảo an toàn. Các cập nhật không liên quan đến bảo mật được phát hành cùng đợt này bao gồm Windows 11 KB5077181, KB5075941 và Windows 10 KB5075912.  6 zero-day đang bị khai thác  CVE-2026-21510 – Windows Shell Security Feature Bypass: Lỗ hổng cho phép attacker bypass Windows SmartScreen và các Windows Shell security prompts khi nạn nhân mở một link hoặc shortcut file được tạo đặc biệt. Khi khai thác thành công, attacker có thể chạy attacker-controlled content mà không có cảnh báo bảo mật cho người dùng. Lỗ hổng nhiều khả năng liên quan đến việc bypass cơ chế Mark of the Web (MoTW).  CVE-2026-21513 – MSHTML Framework Security Feature Bypass: Đây là lỗ hổng Security Feature Bypass trong MSHTML Framework cho phép attacker bypass cơ chế bảo mật qua network do lỗi trong protection mechanismcủa MSHTML. Microsoft chưa công bố chi tiết cách thức khai thác, nhưng lỗ hổng đã được ghi nhận đang bị khai thác trong thực tế.  CVE-2026-21514 – Microsoft Word Security Feature Bypass: Lỗ hổng trong Microsoft Word cho phép attacker bypass các OLE mitigations trong Microsoft 365 và Office, vốn được thiết kế để bảo vệ khỏi vulnerable COM/OLE controls. Attacker cần gửi Office file độc hại và lừa nạn nhân mở file, tuy nhiên lỗ hổng không thể khai thác thông qua Office Preview Pane.  CVE-2026-21519 – Desktop Window Manager Elevation of Privilege: Lỗ hổng Elevation of Privilege trong Desktop Window Manager cho phép attacker sau khi khai thác thành công có thể leo thang đặc quyền lên mức SYSTEM trên hệ thống Windows. Microsoft chưa công bố chi tiết kỹ thuật về phương thức khai thác.  CVE-2026-21525 – Windows Remote Access Connection Manager Denial of Service: Lỗ hổng Denial of Service trong Windows Remote Access Connection Manager do lỗi null pointer dereference, cho phép attacker gây crashdịch vụ trên máy local. Exploit của lỗ hổng này được phát hiện trong một public malware repository vào cuối năm 2025.  CVE-2026-21533 – Windows Remote Desktop Services Elevation of Privilege: Lỗ hổng Elevation of Privilege trong Windows Remote Desktop Services do improper privilege management, cho phép attacker leo thang đặc quyền local. Exploit có thể sửa đổi service configuration key để thêm một user mới vào nhóm Administrator, giúp attacker kiểm soát hệ thống.  Các bản cập nhật gần đây từ các hãng khác  Các nhà cung cấp khác cũng đã phát hành các bản cập nhật hoặc advisory trong tháng 2/2026, bao gồm:  Adobe phát hành các bản cập nhật bảo mật cho Audition, After Effects, InDesign, Substance 3D, Adobe Lightroom Classic và nhiều phần mềm khác. Không có lỗ hổng nào trong số này đang bị khai thác.  BeyondTrust phát hành bản cập nhật bảo mật để vá một lỗ hổng Critical RCE trong phần mềm Remote Support (RS) và Privileged Remote Access (PRA).  CISA ban hành một binding operational directive mới yêu cầu các cơ quan liên bang loại bỏ các network edge devices đã hết thời gian hỗ trợ.  Cisco phát hành các bản cập nhật bảo mật cho Secure Web Appliance, Cisco Meeting Management và nhiều sản phẩm khác.  Fortinet phát hành các bản cập nhật bảo mật cho FortiOS và FortiSandbox.  Google phát hành Android February Security Bulletin, tuy nhiên bản tin này không bao gồm bản vá bảo mật nào.  n8n đã vá các lỗ hổng critical có thể được sử dụng để bypass bản vá trước đó của lỗ hổng RCE CVE-2025-68613.  SAP phát hành bản cập nhật bảo mật tháng 2 cho nhiều sản phẩm, bao gồm các bản vá cho hai lỗ hổng Critical.  Ngoài ra, mặc dù không phải là bản cập nhật bảo mật, Microsoft đã bắt đầu triển khai chức năng Sysmon tích hợp sẵn trong các bản Windows 11 Insider builds, điều mà nhiều quản trị viên Windows có thể thấy hữu ích.  Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 02 năm 2026.  Tag  CVE ID  CVE Title  Severity  Azure Arc  CVE-2026-24302  Azure Arc Elevation of PrivilegeVulnerability  Critical  Azure Compute Gallery  CVE-2026-23655  Microsoft ACI ConfidentialContainers Information DisclosureVulnerability  Critical  Azure Compute Gallery  CVE-2026-21522  Microsoft ACI ConfidentialContainers Elevation of PrivilegeVulnerability  Critical  Azure Front Door (AFD)  CVE-2026-24300  Azure Front Door Elevation ofPrivilege Vulnerability  Critical  Azure Function  CVE-2026-21532  Azure Function InformationDisclosure Vulnerability  Critical  Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.   2. Linux   CVE  Mô tả lỗ hổng  CVE-2025-71225  Lỗ hổng trong Linux kernel (md/RAID) xảy ra khi cập nhật raid_disksqua sysfs mà không suspend array, khiến r1bio có thể được giải phóng sai kích thước và truy cập bộ nhớ ngoài phạm vi. Bản vá khắc phục bằng cách suspend array trước khi cập nhật raid_disks để tránh lỗi bộ nhớ.  CVE-2025-71227  Lỗ hổng trong Linux kernel mac80211 xảy ra khi thiết bị cố kết nối vào channel không hợp lệ (ví dụ do thay đổi regulatory sau khi scan). Bản vá thay WARN bằng thông báo lỗi rõ ràng hơn để xử lý tình huống này.  CVE-2026-23211  Lỗ hổng trong Linux kernel swap subsystem có thể gây kernel panicdưới áp lực bộ nhớ cao do swap address space bị đặt read-only. Bản vá khôi phục swap address space không ở chế độ read-only để tránh lỗi này.  Chi tiết về các lỗ hổng có thể xem tại Advisories.  3. VMware   CVE  Mô tả lỗ hổng  CVE-2026-22719  CVE-2026-22719 là lỗ hổng command injection trong VMware AriaOperations, cho phép attacker unauthenticated thực thi lệnh từ xa (RCE) trong quá trình support-assisted product migration. Bản vá và workaroundđược cung cấp trong VMSA-2026-0001.  CVE-2026-22720  CVE-2026-22720 là lỗ hổng stored XSS trong VMware Aria Operations, cho phép attacker có quyền tạo custom benchmarks chèn script để thực hiện hành động quản trị. Bản vá được cung cấp trong VMSA-2026-0001.  CVE-2026-22715  CVE-2026-22715 là lỗ hổng logic flaw trong xử lý network packets của VMware Workstation và Fusion, cho phép attacker có quyền admin trên Guest VM chặn hoặc can thiệp kết nối mạng của các Guest VM khác. Khắc phục bằng cách nâng cấp lên VMware Workstation/Fusion25H2U1.  Chi tiết về các bản vá có thể xem tại Advisories  II. Một số sự kiện an ninh mạng đáng chú ý:  1. Lỗ hổng RoguePilot trong GitHub Codespaces khiến Copilot có thể làm rò rỉ GITHUB_TOKEN  Lỗ hổng RoguePilot trong GitHub Codespaces cho phép attacker chèn prompt injection vào một GitHub issue, khiến GitHub Copilot thực thi các chỉ dẫn độc hại khi người dùng mở Codespace từ issue đó. Điều này có thể dẫn đến rò rỉ dữ liệu nhạy cảm như GITHUB_TOKEN và thậm chí cho phép attacker kiểm soát repository. Lỗ hổng đã được Microsoft vá sau khi được Orca Security phát hiện.  Ngoài ra, các nghiên cứu gần đây cho thấy nhiều kỹ thuật tấn công mới nhắm vào LLM và AI agents như GRP-Obliteration (loại bỏ cơ chế an toàn của mô hình), ShadowLogic (backdoor trong AI agent), Semantic Chaining (imagejailbreak) và Promptware, một dạng “malware cho AI” sử dụng prompt để thực hiện các giai đoạn của cyber attack lifecycle.  2. Tấn công chuỗi cung ứng vào Cline CLI 2.3.0 khiến OpenClaw bị cài đặt trên hệ thống của các lập trình viên.  Một software supply chain attack đã xảy ra với Cline CLI 2.3.0, khi attacker sử dụng npm publish token bị compromise để phát hành phiên bản chứa script postinstall tự động cài OpenClaw trên máy developer. Sự cố ảnh hưởng đến những người cài đặt gói trong khoảng 8 giờ ngày 17/02/2026, và sau đó đã được khắc phục bằng Cline 2.4.0, đồng thời token bị thu hồi.  Cuộc tấn công có thể liên quan đến kỹ thuật Clinejection, trong đó attacker dùng prompt injection trong GitHub issue để thao túng AI agent (Claude) trong workflow tự động, dẫn đến arbitrary code execution và đánh cắp publishtoken. Điều này cho thấy rủi ro ngày càng lớn của AI trong software supply chain, khi AI agent có quyền cao trong quy trình CI/CD.  Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.      Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.        Liên hệ với chúng tôi để được tư vấn :    Fanpage: https://www.facebook.com/fptsmartcloud/    Email: support@fptcloud.com    Hotline: 1900 638 399 

I. Các lỗ hổng bảo mật được công bố trong tháng 1 1. Microsoft Microsoft đã phát hành bản cập nhật bảo mật Patch Tuesday tháng 1/2026 nhằm khắc phục 114 lỗ hổng, bao gồm 3 lỗ hổng zero-day, trong đó 1 lỗ hổng đang bị khai thác tích cực ngoài thực tế và 2 lỗ hổng đã được công bố công khai. Đợt cập nhật lần này xử lý 8 lỗ hổng mức Critical, bao gồm: 6 lỗ hổng Remote Code Execution (RCE) 2 lỗ hổng Elevation of Privilege (EoP) Theo phân loại của Microsoft, một lỗ hổng được xem là zero-day nếu đã bị khai thác hoặc công bố công khai trong khi chưa có bản vá chính thức tại thời điểm thông tin được tiết lộ.           a. Zero-day đang bị khai thác tích cực CVE-2026-20805 – Desktop Window Manager Information Disclosure Vulnerability Microsoft đã vá một lỗ hổng Information Disclosure trong Desktop Window Manager (DWM), cho phép kẻ tấn công đọc địa chỉ bộ nhớ user-mode liên quan đến remote ALPC port. Lỗ hổng được phát hiện bởi Microsoft Threat Intelligence Center (MSTIC) và MSRC. Hiện Microsoft chưa công bố chi tiết kỹ thuật khai thác, tuy nhiên việc lỗ hổng đã bị khai thác ngoài thực tế cho thấy mức độ rủi ro cao đối với các hệ thống chưa được cập nhật.           b. Các zero-day đã được công bố công khai CVE-2026-21265 – Secure Boot Certificate Expiration Security Feature Bypass: Microsoft cảnh báo các Windows Secure Boot certificates (2011) sắp hết hạn, khiến các hệ thống không cập nhật có nguy cơ bị bypass Secure Boot. Các bản vá hiện tại gia hạn chứng chỉ để duy trì Secure Boot trust chain, đảm bảo tính toàn vẹn của quá trình khởi động. CVE-2023-31096 – Windows Agere Soft Modem Driver Elevation of Privilege: Lỗ hổng EoP tồn tại trong third-party Agere Soft Modem driver đi kèm Windows. Trong bản January 2026 Patch Tuesday, Microsoft đã loại bỏ các driver agrsm64.sys và agrsm.sys thông qua cumulative update. Lỗ hổng do Zeze (TeamT5) phát hiện và báo cáo.           c. Các bản cập nhật gần đây từ các công ty khác Ngoài Microsoft, nhiều hãng công nghệ khác cũng đã phát hành bản vá hoặc thông báo bảo mật trong tháng 1/2026, bao gồm: Adobe tung ra các bản cập nhật bảo mật cho hàng loạt sản phẩm phổ biến như InDesign, Illustrator, InCopy, Bridge, ColdFusion và bộ công cụ Substance 3D. Cisco phát hành bản vá cho một lỗ hổng trong Identity Services Engine (ISE); đáng chú ý, mã khai thác mẫu (proof-of-concept) đã được công bố công khai. Fortinet cập nhật bảo mật cho nhiều sản phẩm, trong đó có bản vá cho hai lỗ hổng thực thi mã từ xa (RCE). D-Link xác nhận một lỗ hổng mới đang bị khai thác ngoài thực tế, ảnh hưởng tới các dòng router đã ngừng hỗ trợ (end-of-life). Google công bố Android Security Bulletin tháng 1, vá một lỗ hổng Critical trong thành phần “DD+ Codec” liên quan đến công nghệ Dolby. jsPDF khắc phục một lỗ hổng Critical, có thể bị lợi dụng để đưa các tệp tin trái phép từ server trong quá trình tạo file PDF. n8n vá một lỗ hổng mức độ nghiêm trọng nhất, có tên “Ni8mare”, cho phép kẻ tấn công chiếm quyền điều khiển máy chủ. SAP phát hành các bản cập nhật bảo mật tháng 1 cho nhiều sản phẩm, bao gồm bản vá cho lỗ hổng code injection có điểm CVSS 9.9/10 trong SAP Solution Manager. ServiceNow công bố một lỗ hổng Critical cho phép leo thang đặc quyền trong ServiceNow AI Platform. Trend Micro vá một lỗ hổng bảo mật Critical trong Apex Central (bản on-premise), có thể bị khai thác để thực thi mã với quyền SYSTEM. Veeam phát hành các bản cập nhật bảo mật cho Backup & Replication, trong đó có một lỗ hổng RCE mức Critical. Dưới đây là danh sách đầy đủ các lỗ hổng đã được khắc phục trong các bản cập nhật Patch Tuesday tháng 01/2026: Tag   CVE ID   CVE Title   Severity   Microsoft GraphicsComponent   CVE-2026-20822   Windows Graphics ComponentElevation of Privilege Vulnerability   Critical   Microsoft Office   CVE-2026-20952   Microsoft Office Remote CodeExecution Vulnerability   Critical   Microsoft Office   CVE-2026-20953   Microsoft Office Remote CodeExecution Vulnerability   Critical   Microsoft Office Excel   CVE-2026-20957   Microsoft Excel Remote CodeExecution Vulnerability   Critical   Microsoft Office Excel   CVE-2026-20955   Microsoft Excel Remote CodeExecution Vulnerability   Critical   Microsoft Office Word   CVE-2026-20944   Microsoft Word Remote CodeExecution Vulnerability   Critical   Windows Local SecurityAuthority SubsystemService (LSASS)   CVE-2026-20854   Windows Local Security AuthoritySubsystem Service (LSASS) Remote Code ExecutionVulnerability   Critical   Windows Virtualization-Based Security (VBS) Enclave   CVE-2026-20876   Windows Virtualization-BasedSecurity (VBS) Enclave Elevationof Privilege Vulnerability   Critical   Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.  2. Linux CVE   Mô tả lỗ hổng   CVE-2025-33206   NVIDIA NSIGHT Graphics for Linux tồn tại lỗ hổng command injection, có thể dẫn đến thực thi mã, leo thang đặc quyền, thao túng dữ liệu hoặc từ chối dịch vụ.  CVE-2025-71144   Lỗi trong Linux kernel (MPTCP) khiến subflow không được reset đúng cách khi disconnect(), dẫn đến cấu hình sai và cảnh báo runtime.  CVE-2025-71143   Lỗi array-index-out-of-bounds trong module clk: samsung: exynos-clkout, được UBSAN phát hiện và đã được khắc phục bằng việc điều chỉnh thứ tự khởi tạo.  Chi tiết về các lỗ hổng có thể xem tại Advisories.   3. VMware CVE   Mô tả lỗ hổng   CVE-2023-54170   Trong Linux kernel, một race condition khi thực hiện dns_query() có thể dẫn đến chèn trùng index key vào assoc_array của keyring, khiến BUG_ON() bị kích hoạt và gây kernel crash. Bản vá khắc phục bằng cách xử lý đúng trường hợp key trùng khi liên kết vào keyring, ngăn tạo duplicate key.   Chi tiết về các bản vá có thể xem tại Advisories. II. Một số sự kiện an ninh mạng đáng chú ý 1. Lỗi cấu hình AWS CodeBuild làm lộ nguy cơ tấn công chuỗi cung ứng Một lỗi cấu hình nghiêm trọng trong AWS CodeBuild, được Wiz phát hiện và đặt tên là CodeBreach, có thể cho phép kẻ tấn công chiếm quyền kiểm soát các GitHub repository do AWS quản lý (bao gồm AWS JavaScript SDK). Lỗ hổng xuất phát từ việc cấu hình sai regex filter webhook (thiếu ký tự ^ và $), cho phép giả mạo GitHub actor ID, kích hoạt CI build trái phép và làm rò rỉ GitHub admin token (PAT).  AWS đã khắc phục sự cố vào 09/2025 sau quá trình responsible disclosure, đồng thời xoay vòng credential và tăng cường bảo vệ pipeline. Dù không ghi nhận bị khai thác thực tế, sự cố này một lần nữa cho thấy CI/CD pipeline là mục tiêu có rủi ro cao, tương tự các sự cố từng xảy ra với GitHub Actions. 2. Lỗ hổng nghiêm trọng trong WordPress Modular DS Plugin bị khai thác tích cực để chiếm quyền Admin Patchstack công bố lỗ hổng CVE-2026-23550 (CVSS 10.0) trong plugin WordPress Modular DS, cho phép unauthenticated privilege escalation. Lỗ hổng ảnh hưởng tới các phiên bản ≤ 2.5.1 và đã được vá trong phiên bản 2.5.2. Plugin hiện có hơn 40.000 lượt cài đặt.  Nguyên nhân xuất phát từ cơ chế routing lỏng lẻo, cho phép bypass xác thực khi bật “direct request” với tham số origin=mo, từ đó truy cập route /login/ và đăng nhập với quyền admin. Các cuộc tấn công đã được ghi nhận từ 13/01/2026. Người dùng được khuyến nghị cập nhật ngay, kiểm tra dấu hiệu xâm nhập, xoay vòng credential và quét mã độc toàn hệ thống.  Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.     Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.       Liên hệ với chúng tôi để được tư vấn :   Fanpage: https://www.facebook.com/fptsmartcloud/   Email: support@fptcloud.com   Hotline: 1900 638 399

I. Các lỗ hổng bảo mật được công bố trong tháng 12 1. Microsoft  Microsoft phát hành bản vá Patch Tuesday tháng 12/2025 khắc phục tổng cộng 57 lỗ hổng bảo mật, bao gồm 1 lỗ hổng zero-day đang bị khai thác tích cực và 2 lỗ hổng zero-day đã được công bố công khai.   Bản cập nhật lần này cũng xử lý 3 lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE) được đánh giá ở mức Nghiêm trọng (Critical).   Số lượng lỗ hổng theo từng loại chi tiết như sau:   28 lỗ hổng leo thang đặc quyền (Elevation of Privilege)   19 lỗ hổng thực thi mã từ xa (Remote Code Execution)   4 lỗ hổng rò rỉ thông tin (Information Disclosure)   3 lỗ hổng từ chối dịch vụ (Denial of Service)   2 lỗ hổng giả mạo (Spoofing)  a. Lỗ hổngzero-day đang bị khai thác tích cực   CVE-2025-62221 - Lỗ hổng leo thang đặc quyền trong Windows Cloud Files Mini Filter Driver   Một lỗ hổng leo thang đặc quyền (Elevation of Privilege) đang bị khai thác trong thành phần Windows Cloud Files Mini Filter Driver đã được khắc phục. Lỗi use-after-free trong driver này cho phép tác nhân tấn công đã được xác thực thực hiện leo thang đặc quyền cục bộ.   Việc khai thác thành công lỗ hổng cho phép giành quyền SYSTEM, mức đặc quyền cao nhất trên hệ điều hành Windows.   b. Các lỗ hổngzero-day đã được công bố công khai   CVE-2025-64671 - Lỗ hổng thực thi mã trong GitHub Copilot for JetBrains   Một lỗ hổng đã được công bố công khai trong GitHub Copilot for JetBrains cho phép thực thi lệnh cục bộ. Lỗi phát sinh do xử lý không đúng các phần tử đặc biệt trong lệnh (command injection), cho phép tác nhân tấn công không được ủy quyền thực thi mã cục bộ.   Lỗ hổng có thể bị khai thác thông qua Cross Prompt Injection trong các tệp không đáng tin cậy hoặc máy chủ MCP. Thông qua Cross Prompt Injection độc hại, các lệnh bổ sung có thể được chèn vào những lệnh đã được cho phép trong cấu hình terminal auto-approve của người dùng.   CVE-2025-54100 - Lỗ hổng thực thi mã trong PowerShell   Một lỗ hổng trong Windows PowerShell cho phép thực thi mã cục bộ khi một trang web chứa script nhúng được truy xuất bằng lệnh Invoke-WebRequest. Lỗi thuộc nhóm command injection, cho phép thực thi mã trái phép thông qua việc xử lý không an toàn các phần tử đặc biệt trong lệnh.   Biện pháp giảm thiểu đã được triển khai bằng cách hiển thị cảnh báo khi sử dụng Invoke-WebRequest và yêu cầu bổ sung tham số -UseBasicParsing nhằm ngăn chặn việc thực thi mã ngoài ý muốn.   Các bản cập nhật gần đây từ các công ty khác   Adobe đã phát hành các bản cập nhật bảo mật cho nhiều sản phẩm, bao gồm ColdFusion, Experience Manager, DNG SDK, Acrobat Reader và Creative Cloud Desktop.   Fortinet đã phát hành các bản vá bảo mật cho nhiều sản phẩm, trong đó có một lỗ hổng nghiêm trọng cho phép vượt qua cơ chế xác thực FortiCloud SSO (Authentication Bypass).   Google đã công bố bản tin bảo mật Android tháng 12, bao gồm các bản vá cho hai lỗ hổng đang bị khai thác tích cực.   Ivanti đã phát hành các bản vá bảo mật trong khuôn khổ Patch Tuesday tháng 12/2025, bao gồm bản vá cho lỗ hổng Stored XSS có điểm CVSS 9.6/10 trong Ivanti Endpoint Manager.   React đã phát hành bản cập nhật bảo mật cho lỗ hổng thực thi mã từ xa (RCE) ở mức nghiêm trọng trong React Server Components. Lỗ hổng này, được đặt tên là React2Shell, hiện đang bị khai thác rộng rãi trong các cuộc tấn công thực tế.   SAP đã phát hành bản cập nhật bảo mật tháng 12 cho nhiều sản phẩm, bao gồm bản vá cho lỗ hổng code injection có điểm CVSS 9.9/10 trong SAP Solution Manager.   Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 12 năm 2025   Tag   CVE ID   CVE Title   Severity   Microsoft Office   CVE-2025-62554   Microsoft Office Remote Code Execution Vulnerability   Critical   Microsoft Office   CVE-2025-62557   Microsoft Office Remote Code Execution Vulnerability   Critical   Microsoft Office Outlook   CVE-2025-62562   Microsoft Outlook Remote Code Execution Vulnerability   Critical   Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.    2. Linux  CVE   Mô tả lỗ hổng   CVE-2025-68322   Trong nhân Linux, lỗ hổng sau đã được khắc phục: parisc: Tránh tình trạng crash do truy cập không căn chỉnh trong unwinder. Guenter Roeck đã báo cáo lỗi crash kernel này trên máy B160L được mô phỏng của mình, với thông tin như sau: Starting network: udhcpc: started, v1.36.1, kèm theo backtrace gồm các hàm unwind_once, walk_stackframe.isra.0, arch_stack_walk, stack_trace_save, set_track_prepare, ___slab_alloc, __slab_alloc.isra.0, kmem_cache_alloc_noprof, __anon_vma_prepare, __vmf_anon_prepare, do_wp_page, handle_mm_fault, do_page_fault, handle_interruption, và schedule, sau đó xuất hiện lỗi BUG: spinlock recursion on CPU#0, ifconfig/2420, với khóa terminate_lock.2, giá trị .magic: dead4ead, chủ sở hữu ifconfig/2420 và .owner_cpu: 0. Trong quá trình tạo stack trace, unwinder sử dụng stack pointer để suy đoán frame trước đó và đọc stack pointer của frame trước từ bộ nhớ; sự cố xảy ra vì unwinder cố gắng đọc từ vùng nhớ không được căn chỉnh, từ đó kích hoạt unalignment trap handler, dẫn đến hiện tượng spinlock recursion và cuối cùng gây ra deadlock. Lỗi được khắc phục bằng cách kiểm tra căn chỉnh trước khi truy cập bộ nhớ.   CVE-2025-33225   NVIDIA Resiliency Extension for Linux tồn tại một lỗ hổng trong cơ chế tổng hợp log, trong đó kẻ tấn công có thể tạo ra tên tệp log có thể dự đoán trước. Việc khai thác thành công lỗ hổng này có thể dẫn đến leo thang đặc quyền, thực thi mã, từ chối dịch vụ, rò rỉ thông tin và can thiệp/sửa đổi dữ liệu.   CVE-2025-68146   filelock là một cơ chế khóa tệp độc lập nền tảng dành cho Python. Trong các phiên bản trước 3.20.1, tồn tại một lỗ hổng Time-of-Check-Time-of-Use (TOCTOU) cho phép kẻ tấn công cục bộ làm hỏng hoặc cắt ngắn (truncate) các tệp người dùng tùy ý thông qua tấn công symlink. Lỗ hổng xuất hiện trong quá trình tạo tệp khóa trên cả Unix và Windows, khi filelock kiểm tra sự tồn tại của tệp trước khi mở tệp với cờ O_TRUNC. Kẻ tấn công có thể tạo một symlink trỏ tới tệp mục tiêu trong khoảng thời gian giữa bước kiểm tra và bước mở tệp, khiến os.open() theo symlink và cắt ngắn tệp đích. Tất cả người dùng filelock trên Unix, Linux, macOS và Windows đều bị ảnh hưởng, đồng thời lỗ hổng này lan truyền sang các thư viện phụ thuộc. Cuộc tấn công yêu cầu quyền truy cập hệ thống tệp cục bộ và khả năng tạo symlink (quyền người dùng tiêu chuẩn trên Unix; Developer Mode trên Windows 10 trở lên). Việc khai thác thường thành công trong 1–3 lần thử khi đường dẫn tệp khóa có thể dự đoán. Lỗ hổng đã được khắc phục trong phiên bản 3.20.1. Trong trường hợp chưa thể nâng cấp ngay, có thể áp dụng biện pháp giảm thiểu tạm thời như sử dụng SoftFileLock thay cho UnixFileLock/WindowsFileLock (lưu ý: cơ chế khóa khác nhau và có thể không phù hợp với mọi trường hợp), đảm bảo thư mục chứa tệp khóa có quyền hạn chặt chẽ (chmod 0700) để ngăn người dùng không đáng tin tạo symlink, và/hoặc giám sát các thư mục tệp khóa để phát hiện symlink bất thường trước khi chạy ứng dụng tin cậy; tuy nhiên, các biện pháp này chỉ giảm thiểu một phần, điều kiện race vẫn có thể bị khai thác. Khuyến nghị mạnh mẽ nâng cấp lên phiên bản 3.20.1.   CVE-2025-68323   Trong nhân Linux, lỗ hổng sau đã được khắc phục: usb: typec: ucsi: khắc phục lỗi use-after-free do uec->work gây ra. Công việc trì hoãn uec->work được lên lịch trong hàm gaokun_ucsi_probe() nhưng không bao giờ được hủy đúng cách trong gaokun_ucsi_remove(), từ đó tạo ra các kịch bản use-after-free khi các cấu trúc ucsi và gaokun_ucsi bị giải phóng sau khi ucsi_destroy() hoàn tất, trong khi gaokun_ucsi_register_worker() có thể đang thực thi hoặc vẫn còn chờ trong hàng đợi công việc; khi đó, các cấu trúc gaokun_ucsi hoặc ucsi đã bị giải phóng vẫn có thể bị truy cập. Ngoài ra, cửa sổ race condition là 3 giây, đủ dài để khiến lỗi này dễ dàng tái tạo. Dưới đây là trace được KASAN ghi nhận, cho thấy lỗi BUG: KASAN: slab-use-after-free trong __run_timers, với ghi nhận thao tác ghi kích thước 8 byte vào vùng nhớ đã bị giải phóng, kèm theo call trace, thông tin cấp phát và giải phóng bộ nhớ, xác định địa chỉ lỗi thuộc về đối tượng trong cache kmalloc-512 đã bị giải phóng, nằm lệch 200 byte bên trong vùng 512 byte, cùng trạng thái trang bộ nhớ chi tiết; trang được dump do KASAN phát hiện truy cập bộ nhớ không hợp lệ.   Chi tiết về các lỗ hổng có thể xem tại Advisories.  II. Một số sự kiện an ninh mạng đáng chú ý 1. Hai tiện ích mở rộngChromebị phát hiện bí mật đánh cắp thông tin đăng nhập từ hơn 170 website   Các nhà nghiên cứu an ninh mạng đã phát hiện hai tiện ích mở rộng độc hại trên Google Chrome, có cùng tên và do cùng một nhà phát triển phát hành, được thiết kế để chặn lưu lượng mạng và đánh cắp thông tin xác thực người dùng.   Các tiện ích này được quảng bá là “plugin kiểm tra tốc độ mạng đa vị trí” dành cho lập trình viên và nhân sự thương mại quốc tế.    Thông tin chi tiết như sau:   Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2.000 người dùng (phát hành ngày 26/11/2017)   Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 người dùng (phát hành ngày 27/04/2023)   Cơ chế tấn công và đánh cắp dữ liệu:  Sau khi người dùng thanh toán, họ được cấp trạng thái VIP và tiện ích tự động kích hoạt chế độ proxy “smarty”, cho phép định tuyến lưu lượng truy cập của hơn 170 domain mục tiêu thông qua hạ tầng C2 của kẻ tấn công.   Điểm nguy hiểm là các tiện ích này vẫn hoạt động đúng như quảng cáo, nhằm tạo cảm giác hợp pháp khi thực hiện kiểm tra độ trễ (latency) của proxy và hiển thị trạng thái kết nối bình thường.  Trong khi đó, mục tiêu thực sự của chúng là chặn lưu lượng mạng và đánh cắp thông tin xác thực mà người dùng hoàn toàn không hay biết.   Hành vi độc hại được triển khai thông qua việc chỉnh sửa mã độc được chèn vào hai thư viện JavaScript đi kèm tiện ích jquery-1.12.2.min.js và scripts.js.  Đoạn mã này đăng ký một listener trên chrome.webRequest.onAuthRequired để tự động tiêm cặp thông tin xác thực proxy được mã hóa cứng (topfany / 963852wei) vào mọi yêu cầu xác thực HTTP.   Ba chế độ proxy và danh sách domain nhạy cảm:  Sau khi xác thực proxy thành công, tiện ích cấu hình Chrome sử dụng Proxy Auto-Configuration (PAC) với ba chế độ:   close: Tắt proxy   always: Định tuyến toàn bộ lưu lượng web qua proxy   smarty: Chỉ định tuyến một danh sách cố định gồm hơn 170 domain giá trị cao   Danh sách này bao gồm:   Nền tảng lập trình: GitHub, Stack Overflow, Docker   Dịch vụ đám mây: AWS, DigitalOcean, Microsoft Azure   Giải pháp doanh nghiệp: Cisco, IBM, VMware   Mạng xã hội: Facebook, Instagram, Twitter   Website người lớn   Đánh cắp dữ liệu liên tục và ở quy mô lớn:   Hệ quả là toàn bộ lưu lượng web của người dùng bị chuyển qua proxy do kẻ tấn công kiểm soát, trong khi tiện ích duy trì heartbeat 60 giây tới máy chủ C2 tại domain phantomshuttle[.]space (hiện vẫn đang hoạt động).   Điều này cho phép kẻ tấn công nắm vị trí Man-in-the-Middle, thu thập lưu lượng theo thời gian thực, thao túng phản hồi và chèn payload tùy ý.  Nghiêm trọng hơn, mỗi 5 phút, tiện ích gửi một HTTP GET request về máy chủ bên ngoài, chứa email người dùng VIP, mật khẩu (dạng plaintext) và phiên bản tiện ích.  Rủi ro chuỗi cung ứng và khuyến nghị:  Tiện ích này có khả năng thu thập mật khẩu, số thẻ tín dụng, cookie xác thực, lịch sử duyệt web, dữ liệu form, API key và access token.  Đặc biệt, việc đánh cắp bí mật của lập trình viên có thể mở đường cho các cuộc tấn công chuỗi cung ứng (supply chain attacks).   Hiện vẫn chưa xác định được danh tính tác giả đứng sau chiến dịch kéo dài suốt 8 năm này. Tuy nhiên, các dấu hiệu như mô tả tiện ích bằng tiếng Trung, tích hợp thanh toán qua Alipay và WeChat Pay, sử dụng Alibaba Cloud để lưu trữ C2 cho thấy khả năng cao đây là một chiến dịch có nguồn gốc từ Trung Quốc.   FPT Cloud khuyến nghị người dùng cần gỡ bỏ ngay các tiện ích nêu trên nếu đã cài đặt. Trong khi đó, đội ngũ an ninh nên triển khai allowlist tiện ích mở rộng, giám sát các tiện ích có cơ chế thu phí + quyền proxy và theo dõi lưu lượng mạng bất thường liên quan đến xác thực proxy.  Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.    Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.      Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud  Fanpage: https://www.facebook.com/fptsmartcloud/  Email: support@fptcloud.com  Hotline: 1900 638 399

I. Các lỗ hổng bảo mật được công bố trong tháng 11  1. Microsoft Microsoft phát hành bản cập nhật Patch Tuesday tháng 11/2025, bao gồm các bản vá bảo mật cho 63 lỗ hổng, trong đó có 1 lỗ hổng zero-day.   Patch Tuesday này cũng khắc phục bốn lỗ hổng được đánh giá là “Critical” (nghiêm trọng), trong đó hai lỗ hổng là thực thi mã từ xa (RCE), một lỗ hổng là leo thang đặc quyền, và lỗ thứ tư là rò rỉ thông tin.   Số lượng lỗ hổng theo từng loại chi tiết như sau:   29 lỗ hổng leo thang đặc quyền (Elevation of Privilege)   2 lỗ hổng bỏ qua tính năng bảo mật (Security Feature Bypass)   16 lỗ hổng thực thi mã từ xa (Remote Code Execution)   11 lỗ hổng rò rỉ thông tin (Information Disclosure)   3 lỗ hổng từ chối dịch vụ (Denial of Service)   2 lỗ hổng giả mạo (Spoofing)   1 lỗ hổng zero-day đang bị khai thác tích cực:    CVE-2025-62215 – Lỗ hổng leo thang đặc quyền trong Windows Kernel   Microsoft đã vá một lỗ hổng trong Windows Kernel, lỗ hổng này từng bị khai thác để chiếm quyền SYSTEM trên thiết bị Windows.   “Thực thi đồng thời sử dụng tài nguyên chia sẻ với đồng bộ không đúng cách (‘race condition’) trong Windows Kernel cho phép kẻ tấn công có quyền hợp pháp leo thang đặc quyền cục bộ,” Microsoft giải thích.   Microsoft cho biết lỗ hổng yêu cầu kẻ tấn công phải thắng race condition, sau đó họ nhận được quyền SYSTEM.   Microsoft đã xác nhận lỗ hổng nhờ trung tâm Threat Intelligence Center (MSTIC) & Microsoft Security Response Center (MSRC) nhưng chưa tiết lộ cách lỗ hổng bị khai thác.   Các bản cập nhật gần đây từ các công ty khác:   Adobe phát hành bản cập nhật bảo mật cho InDesign, InCopy, Photoshop, Illustrator, Substance 3D, Pass và Adobe Format.   Cisco phát hành bản vá cho nhiều sản phẩm, bao gồm Cisco ASA, Unified Contact Center và Identity Services. Cisco cũng cảnh báo về một cuộc tấn công mới khai thác các lỗ hổng cũ.   expr-eval phát hành bản vá để sửa lỗ hổng RCE nghiêm trọng trong thư viện JavaScript.   Fortinet phát hành bản cập nhật bảo mật cho lỗ hổng leo thang đặc quyền mức trung bình trong FortiOS.   Google phát hành thông báo bảo mật Android tháng 11 với bản vá cho hai lỗ hổng.   Ivanti phát hành các bản vá bảo mật trong Patch Tuesday tháng 11/2025.   runC phát hành bản vá cho các lỗ hổng cho phép kẻ tấn công thoát container Docker và Kubernetes.   QNAP phát hành bản vá cho bảy lỗ hổng zero-day bị khai thác để tấn công thiết bị lưu trữ mạng (NAS) trong cuộc thi Pwn2Own Ireland 2025.   SAP phát hành các bản vá bảo mật tháng 11 cho nhiều sản phẩm, bao gồm sửa lỗi 10/10 hardcoded credentials trong SQL Anywhere Monitor.   Samsung phát hành các bản vá bảo mật tháng 11, sửa 25 lỗ hổng.   Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 11 năm 2025:   Tag   CVE ID   CVE Title   Severity   Microsoft Office   CVE-2025-62199   Microsoft Office Remote Code Execution Vulnerability   Critical   Nuance PowerScribe   CVE-2025-30398   Nuance PowerScribe 360 Information Disclosure Vulnerability   Critical   Visual Studio   CVE-2025-62214   Visual Studio Remote Code Execution Vulnerability   Critical   Windows DirectX   CVE-2025-60716   DirectX Graphics Kernel Elevation of Privilege Vulnerability   Critical    Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.   2. Linux  CVE   Mô tả lỗ hổng   CVE‑2025‑40121   ASoC: Intel bytcr_rt5651: fix mapping quirk không hợp lệ — nếu truyền giá trị sai qua “quirk”, driver trước đây bỏ qua → có thể gây OOB access.   CVE‑2025‑40186   Một lỗ hổng kernel (theo NVD) được công bố ngày 12/11/2025.   CVE‑2025‑40152   DRM / MSM: lỗi bootup crash khi sử dụng tham số separate_gpu_drm = 1 do gpuva.list chưa khởi tạo.   CVE‑2025‑40178   Trong phần xử lý PID namespace: nếu ns là NULL, có thể dẫn đến NULL pointer dereference gây kernel panic.    CVE‑2025‑40147   Vấn đề throttle group: hàm blk_throtl_activated() được thắt chặt để tránh truy cập khi policy chưa đính kèm, ngăn lỗi truy cập không hợp lệ.    CVE‑2025‑40171   NVMe‑FC (nvmet-fc): lỗ hổng leak reference khi nhiều lệnh bất đồng bộ (async) cùng thực thi; fix bằng cách di chuyển work item vào struct nvmet_fc_ls_req_op.    Chi tiết về các lỗ hổng có thể xem tại  Advisories.  3. VMware  CVE   Mô tả lỗ hổng   CVE‑2025‑41244   Tăng quyền cục bộ (local privilege escalation) trên máy ảo sử dụng VMware Tools hoặc VMware Aria Operations.   CVE‑2025‑22247   Xử lý tệp không an toàn trong VMware Tools, có thể dẫn đến rủi ro bảo mật.   Chi tiết về các bản vá có thể xem tại  Advisories.  II. Một số sự kiện an ninh mạng đáng chú ý 1. Washington Post bị rò rỉ dữ liệu, ảnh hưởng gần 10.000 nhân viên và nhà thầu  Gần 10.000 nhân viên và nhà thầu của Washington Post bị lộ dữ liệu cá nhân và tài chính sau vụ tấn công khai thác lỗ hổng zero-day CVE-2025-61884 trong Oracle E-Business Suite. Nhóm Clop ransomware được cho là thủ phạm. Dữ liệu bị lộ gồm tên, số tài khoản ngân hàng, SSN, số thuế và ID. Nạn nhân được cung cấp 12 tháng dịch vụ bảo vệ danh tính miễn phí, đồng thời được khuyến nghị đóng băng tín dụng và đặt cảnh báo gian lận. Vụ việc có khả năng liên quan đến cuộc tấn công email các nhà báo trước đó.  2. Microsoft triển khai tính năng ngăn chụp màn hình cho người dùng Teams Microsoft Teams Premium vừa triển khai tính năng “Prevent screen capture” giúp ngăn chặn chụp màn hình và ghi hình trong các cuộc họp trên Windows và Android. Tính năng này mặc định tắt và phải được tổ chức viên bật cho từng cuộc họp; trên các nền tảng không hỗ trợ, người tham dự sẽ chỉ nghe bằng âm thanh. Mặc dù vậy, thông tin nhạy cảm vẫn có thể bị ghi lại bằng cách chụp màn hình bằng điện thoại. Đây là một trong các nỗ lực bảo vệ dữ liệu nhạy cảm của Teams, bên cạnh việc cảnh báo người dùng về tệp và liên kết độc hại trong chat. Hiện Teams có hơn 320 triệu người dùng hàng tháng trên toàn cầu.   Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.      Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.     Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud Fanpage: https://www.facebook.com/fptsmartcloud/ Email: support@fptcloud.com Hotline: 1900 638 399 

I. Các lỗ hổng bảo mật được công bố trong tháng 09  1. Microsoft   Microsoft phát hành bản cập nhật Patch Tuesday tháng 9/2025, bao gồm các bản vá bảo mật cho 81 lỗ hổng, trong đó có hai lỗ hổng zero-day đã được công khai.   Đợt cập nhật này cũng khắc phục 09 lỗ hổng “Nghiêm trọng” (Critical), trong đó gồm 05 lỗ hổng cho phép thực thi mã từ xa (RCE), 01 lỗ hổng tiết lộ thông tin  và 02 lỗ hổng leo thang đặc quyền.   Cụ thể, số lượng lỗ hổng theo từng loại như sau:  41 lỗ hổng leo thang đặc quyền (Elevation of Privilege)   2 lỗ hổng vượt qua tính năng bảo mật (Security Feature Bypass)   22 lỗ hổng thực thi mã từ xa (Remote Code Execution)   16 lỗ hổng tiết lộ thông tin (Information Disclosure)   3 lỗ hổng từ chối dịch vụ (Denial of Service)   1 lỗ hổng giả mạo (Spoofing)   Lỗ hổng zero-day được công bố công khai gồm:  CVE-2025-55234 - Windows SMB Elevation of Privilege Vulnerability   CVE-2024-21907 - Newtonsoft.Json - Xử lý sai điều kiện ngoại lệ    Cập nhật gần đây từ các công ty khác:  Adobe: phát hành bản vá bảo mật cho lỗ hổng “SessionReaper” ảnh hưởng đến các cửa hàng thương mại điện tử Magento.   Argo: khắc phục một lỗ hổng trong Argo CD cho phép các token API có quyền hạn thấp vẫn có thể truy cập endpoint API và lấy toàn bộ thông tin xác thực repository liên kết với dự án.   Cisco: phát hành bản vá cho WebEx, Cisco ASA, và các sản phẩm khác.   Google: phát hành bản cập nhật bảo mật Android tháng 9, xử lý tổng cộng 84 lỗ hổng, trong đó có hai lỗ hổng đã bị khai thác tích cực.   SAP: phát hành bản vá bảo mật tháng 9 cho nhiều sản phẩm, bao gồm một bản vá cho lỗ hổng thực thi lệnh với mức độ nghiêm trọng tối đa trong Netweaver.   Sitecore: phát hành bản vá cho lỗ hổng zero-day CVE-2025-53690, đã bị khai thác trong các cuộc tấn công thực tế.   TP-Link: xác nhận tồn tại một lỗ hổng zero-day mới trong một số dòng router; công ty đang đánh giá khả năng khai thác và chuẩn bị phát hành bản vá cho khách hàng tại Mỹ.   Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 9 năm 2025:   Tag   CVE ID   CVE Title   Severity   Azure - Networking   CVE-2025-54914   Azure Networking Elevation of Privilege Vulnerability   Critical   Azure Bot Service   CVE-2025-55244   Azure Bot Service Elevation of Privilege Vulnerability   Critical   Azure Entra   CVE-2025-55241   Azure Entra Elevation of Privilege Vulnerability   Critical   Dynamics 365 FastTrack Implementation Assets   CVE-2025-55238   Dynamics 365 FastTrack Implementation Assets Information Disclosure Vulnerability   Critical   Graphics Kernel   CVE-2025-55236   Graphics Kernel Remote Code Execution Vulnerability   Critical   Graphics Kernel   CVE-2025-55226   Graphics Kernel Remote Code Execution Vulnerability   Critical   Microsoft Graphics Component   CVE-2025-53800   Windows Graphics Component Elevation of Privilege Vulnerability   Critical   Microsoft Office   CVE-2025-54910   Microsoft Office Remote Code Execution Vulnerability   Critical   Windows Imaging Component   CVE-2025-53799   Windows Imaging Component Information Disclosure Vulnerability   Critical   Windows NTLM   CVE-2025-54918   Windows NTLM Elevation of Privilege Vulnerability   Critical   Windows Win32K - GRFX   CVE-2025-55224   Windows Hyper-V Remote Code Execution Vulnerability   Critical   Windows Win32K - GRFX   CVE-2025-55228   Windows Graphics Component Remote Code Execution Vulnerability   Critical   Xbox   CVE-2025-55242   Xbox Certification Bug Copilot Djando Information Disclosure Vulnerability   Critical   Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.   2. Linux CVE-2025-20128 - ClamAV (OLE2 decryption)   Lỗi trong cơ chế giải mã OLE2 của ClamAV có thể dẫn đến điều kiện ngoài giới hạn bộ nhớ (heap buffer overflow read / integer underflow trong kiểm tra bounds) khi ClamAV quét file độc hại. Kẻ tấn công từ xa (không cần xác thực) có thể gửi file được chế tạo đặc biệt để làm crash quá trình quét (Denial-of-Service); trong một số trường hợp liên quan đến PDF/OLE2 còn có ghi nhận khả năng thực thi mã tùy ý nếu phối hợp với lỗ hổng khác.   CVE-2025-20260 - ClamAV (PDF scanning)   Lỗ hổng liên quan tới xử lý file PDF trong ClamAV có thể gây tràn bộ đệm hoặc DoS; được liệt kê cùng DLA-4292-1. Tương tự CVE-2025-20128 - khả năng crash dịch vụ quét, rủi ro nâng cao nếu kết hợp payload khác; yêu cầu cập nhật ClamAV.   CVE-2025-57804 - python-h2 (HTTP/2 request splitting → request smuggling)   Thư viện h2 (Python HTTP/2 stack) trước phiên bản vá có lỗi xử lý khiến kẻ tấn công chèn ký tự CRLF để tách/bẻ ranh giới request khi server xuống cấp (downgrade) HTTP/2 → HTTP/1.1, dẫn tới HTTP request smuggling. Kẻ tấn công có thể vượt qua các kiểm soát phía trước (WAF, CDN), thực hiện request smuggling, lấy quyền truy cập vào session của người dùng, hoặc đầu độc cache. Được đánh giá là nghiêm trọng; đã có bản vá (ví dụ h2 ≥ 4.3.0).   CVE-2025-58068 - python-eventlet (HTTP request smuggling / WSGI parser)   python-eventlet (WSGI server/parser) xử lý không đúng phần trailer của HTTP, dẫn tới request smuggling qua cách phân tách/ràng buộc header/trailer. Kẻ tấn công có thể bypass front-end security, tấn công người dùng đang hoạt động, hoặc poison web cache; ảnh hưởng đến các ứng dụng WSGI dùng eventlet. Đã có bản vá trong distro (Debian, SUSE, …).   CVE-2025-8067 - udisks2 (Out-of-bounds read)   Lỗi kiểm tra ranh giới trong udisks2 (D-Bus daemon quản lý thiết bị lưu trữ) dẫn tới out-of-bounds read khi xử lý một số thao tác tập tin/descriptor. Có thể khiến daemon udisks2 crash (DoS) hoặc lộ thông tin; kẻ tấn công cục bộ (unprivileged) có khả năng gây ảnh hưởng tới tính sẵn sàng/độc lập của dịch vụ lưu trữ. Đã có bản vá cho các distro (Debian, Fedora, Oracle Linux, Ubuntu…).   Thông tin chi tiết về các lỗ hổng có thể xem tại Advisories.  3. VMware công bố các lỗ hổng tháng 9  CVE-2025-4517 - VMware Tanzu Greenplum   Mức độ: Critical   Ảnh hưởng: Greenplum trước 7.5.4.   Mô tả: Lỗ hổng cho phép kẻ tấn công khai thác để thực hiện tấn công nghiêm trọng (chi tiết kỹ thuật hạn chế trong advisory).   Khuyến nghị: Cập nhật lên Greenplum 7.5.4.   CVE-2025-9288 - VMware Tanzu Greenplum   Mức độ: Critical   Ảnh hưởng: Greenplum trước 7.5.4.   Mô tả: Lỗ hổng bảo mật nghiêm trọng trong cơ chế xử lý dữ liệu; có thể dẫn đến compromise hệ thống.   Khuyến nghị: Cập nhật bản vá Greenplum 7.5.4.   CVE-2025-32462 - VMware Tanzu Platform / Cloud Foundry   Mức độ: Critical (CVSS 10.0)   Ảnh hưởng: Một số thành phần Tanzu Platform.   Mô tả: Cho phép khai thác từ xa, nguy cơ chiếm quyền cao.   Khuyến nghị: Cập nhật bản vá theo advisory tháng 9/2025.   CVE-2025-6395 - VMware Tanzu Platform   Mức độ: High   Ảnh hưởng: Các bản phát hành Tanzu Application Service.   Mô tả: Lỗ hổng bảo mật nghiêm trọng, chi tiết không công bố đầy đủ.   Khuyến nghị: Nâng cấp lên phiên bản bản vá mới nhất.   CVE-2025-5916 / CVE-2025-5917 - VMware Tanzu (Stemcells / Hub)   Mức độ: Critical   Ảnh hưởng: Tanzu Stemcells, Tanzu Hub.   Mô tả: Lỗ hổng bảo mật có thể khai thác từ xa, cho phép chiếm quyền hệ thống.   Khuyến nghị: Áp dụng patch từ Broadcom ngay lập tức.   Thông tin chi tiết về các bản vá có thể xem tại Advisories. II. Một số sự kiện an ninh mạng đáng chú ý 1. Apple cảnh báo người dùng bị nhắm mục tiêu trong các cuộc tấn công spyware mới  Trong tháng 9/2025, Apple cảnh báo nhiều người dùng rằng thiết bị của họ đã trở thành mục tiêu của các cuộc tấn công spyware tinh vi.    Theo CERT-FR, từ đầu năm đến nay Apple đã gửi ít nhất 4 đợt thông báo (5/3, 29/4, 25/6 và 3/9) tới tài khoản của người dùng bị ảnh hưởng. Những cảnh báo này xuất hiện trong email, số điện thoại liên kết với Apple ID và hiển thị khi đăng nhập. Các cuộc tấn công chủ yếu khai thác zero-day hoặc zero-click, không cần tương tác từ người dùng, và nhắm tới các cá nhân có vai trò nhạy cảm như nhà báo, luật sư, chính trị gia, quan chức cấp cao.    Apple gần đây cũng đã phát hành bản vá khẩn cấp cho lỗ hổng CVE-2025-43300 kết hợp với một lỗ hổng WhatsApp zero-click. Công ty khuyến nghị người dùng bị nhắm mục tiêu kích hoạt Lockdown Mode và liên hệ hỗ trợ khẩn cấp. Từ năm 2021, Apple đã gửi cảnh báo cho người dùng tại hơn 150 quốc gia nhưng không nêu rõ tác nhân tấn công đứng sau.  2. Microsoft bổ sung cảnh báo liên kết độc hại trong tin nhắn riêng trên Teams Microsoft vừa công bố tính năng cảnh báo liên kết độc hại trong tin nhắn riêng trên Teams, áp dụng cho khách hàng Microsoft Defender for Office 365 và Teams Enterprise. Tính năng này sẽ hiển thị banner cảnh báo trực tiếp trên tin nhắn có chứa URL bị gắn nhãn spam, phishing hoặc malware, giúp nâng cao nhận thức của người dùng.    Public preview bắt đầu từ tháng 9/2025 trên desktop, web, Android, iOS, và dự kiến phát hành chính thức vào tháng 11/2025. Admin có thể bật/tắt tính năng trong Teams Admin Center hoặc PowerShell, và khi một tenant bật thì toàn bộ tenant sẽ được áp dụng. Sau khi chính thức ra mắt, tính năng sẽ mặc định bật. Microsoft cũng đang mở rộng khả năng bảo vệ Teams, bao gồm chặn liên lạc từ domain độc hại và xoá tin nhắn từ người dùng bị chặn. Điều này bổ sung cho các tính năng sẵn có như Safe Links và ZAP. Với hơn 320 triệu người dùng hàng tháng trên toàn cầu, Microsoft kỳ vọng tăng cường mạnh mẽ khả năng bảo vệ cho hệ sinh thái Teams.   Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.     Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud tại đây.   Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud Fanpage: https://www.facebook.com/fptsmartcloud/ Email: support@fptcloud.com Hotline: 1900 638 399