Điều gì có thể khiến Microsoft phải phá vỡ chu kỳ cập nhật thường lệ để phát hành bản vá khẩn cấp? Câu trả lời là lỗ hổng CVE-2026-40372 trong ASP.NET Core với mức độ nguy hiểm 9.1/10 điểm CVSS. Lỗ hổng này cho phép kẻ tấn công leo thang quyền hạn, biến tài khoản người dùng thông thường thành quản trị viên hệ thống. Một nhà nghiên cứu ẩn danh đã phát hiện và báo cáo lỗ hổng này cho Microsoft.

Bản vá ngoài lịch trình - Dấu hiệu báo động đỏ

Microsoft hiếm khi phát hành các bản cập nhật ngoài lịch trình Patch Tuesday hàng tháng. Động thái này chỉ xảy ra khi xuất hiện những lỗ hổng cực kỳ nghiêm trọng, có khả năng bị khai thác diện rộng. Chúng tôi nhớ lại các trường hợp tương tự như lỗ hổng PrintNightmare năm 2021 hay ProxyShell trong Exchange Server cũng được xử lý theo cách thức khẩn cấp này.

ASP.NET Core là framework phát triển web phổ biến của Microsoft, được sử dụng bởi hàng triệu website trên toàn cầu. Việc xuất hiện lỗ hổng nghiêm trọng trong nền tảng này có thể tạo ra hiệu ứng domino, ảnh hưởng đến toàn bộ hệ sinh thái ứng dụng web doanh nghiệp. Theo thống kê của W3Techs, ASP.NET chiếm khoảng 7.8% thị phần các website toàn cầu.

Phân tích kỹ thuật: Khi mã hóa trở thành điểm yếu

Lỗ hổng CVE-2026-40372 xuất phát từ việc "xác minh không đúng cách các chữ ký mã hóa" (improper verification of cryptographic signatures). Điều này có nghĩa là ASP.NET Core không kiểm tra chặt chẽ tính hợp lệ của các token hoặc certificate được sử dụng để xác thực người dùng. Kẻ tấn công có thể tạo ra các token giả mạo hoặc chỉnh sửa token hợp lệ để vượt qua cơ chế bảo mật.

Chúng tôi đánh giá đây là một lỗ hổng thuộc dạng "privilege escalation" - leo thang quyền hạn, cho phép người dùng có quyền hạn thấp truy cập vào các tài nguyên dành cho quản trị viên. Với điểm CVSS 9.1/10, lỗ hổng này được Microsoft xếp vào mức "Important" - quan trọng, chỉ thấp hơn một bậc so với mức "Critical" - nghiêm trọng nhất. Sự khác biệt này chủ yếu do lỗ hổng yêu cầu kẻ tấn công phải có một số điều kiện tiên quyết để khai thác thành công.

Tác động thực tế: Ai đang gặp nguy hiểm?

Các tổ chức sử dụng ASP.NET Core để phát triển ứng dụng web, API hoặc dịch vụ trực tuyến đều có nguy cơ bị tấn công. Điều đặc biệt nguy hiểm là kẻ tấn công có thể khai thác lỗ hổng này từ xa, không cần truy cập vật lý vào hệ thống. Tại Việt Nam, nhiều ngân hàng, công ty fintech, sàn thương mại điện tử và cơ quan chính phủ đang sử dụng công nghệ .NET của Microsoft.

Theo báo cáo an ninh mạng Việt Nam 2023, khoảng 23% các cuộc tấn công mạng nhắm vào lỗ hổng trong các framework phát triển web. Nếu lỗ hổng CVE-2026-40372 bị khai thác thành công, kẻ tấn công có thể đánh cắp dữ liệu khách hàng, thay đổi cấu hình hệ thống, hoặc thậm chí cài đặt mã độc để tấn công lan truyền.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp Việt

Microsoft đã phát hành các bản vá cho tất cả phiên bản ASP.NET Core đang được hỗ trợ. Các quản trị viên IT cần thực hiện ngay các bước sau: đầu tiên, xác định các hệ thống đang chạy ASP.NET Core thông qua công cụ kiểm tra phiên bản. Thứ hai, tải về và cài đặt bản vá từ trang web chính thức của Microsoft. Thứ ba, khởi động lại các dịch vụ web sau khi cài đặt hoàn tất.

Chúng tôi khuyến nghị các doanh nghiệp không nên trì hoãn việc áp dụng bản vá này. Kinh nghiệm từ các sự cố an ninh mạng trước đây cho thấy, kẻ tấn công thường nhanh chóng phát triển mã khai thác sau khi thông tin lỗ hổng được công bố. Các tổ chức chậm trễ trong việc cập nhật bản vá sẽ trở thành mục tiêu ưu tiên của các nhóm hacker. Ngoài ra, doanh nghiệp nên thiết lập cơ chế giám sát bất thường trên các ứng dụng web và tăng cường logging để phát hiện sớm các dấu hiệu tấn công.