Nhóm Tin Tặc APT28 Dùng Lỗ Hổng Zero-Day MSHTML (CVE-2026-21513) Để Tấn Công Dân Văn Phòng
Sản phẩm cá nhân
Cho chính phủ, doanh nghiệp vừa & lớn
Doanh nghiệp nhỏ
Nhóm Tin Tặc APT28 Dùng Lỗ Hổng Zero-Day MSHTML (CVE-2026-21513) Để Tấn Công Dân Văn Phòng
Các nhà nghiên cứu bảo mật vừa phát hiện chiến dịch tấn công quy mô lớn của APT28 - nhóm tin tặc được cho là có sự hậu thuẫn từ nhà nước. Chúng đang tận dụng lỗ hổng chưa từng được công bố (CVE-2026-21513) trong thành phần MSHTML của Windows để xuyên thủng hệ thống mạng doanh nghiệp và chính phủ thông qua các tệp tài liệu mồi nhử.
.png "Nhóm Tin Tặc APT28 Dùng Lỗ Hổng Zero-Day MSHTML (CVE-2026-21513) Để Tấn Công Dân Văn Phòng")
Sự nguy hiểm của "Bóng ma" MSHTML
Nếu bạn nghĩ rằng Internet Explorer đã chết thì bạn đã nhầm. Mặc dù trình duyệt này đã bị "khai tử", nhưng "trái tim" của nó là công cụ kết xuất web MSHTML vẫn đang nằm sâu bên trong hệ điều hành Windows và được Microsoft Office sử dụng để hiển thị nội dung web bên trong các tài liệu Word, Excel hay Outlook.
Lỗ hổng CVE-2026-21513 đánh chính xác vào "bóng ma" này. Bằng cách thao túng cách MSHTML xử lý các liên kết đặc biệt, APT28 có thể ép máy tính của nạn nhân tự động thực thi mã độc hoặc gửi thông tin đăng nhập ra máy chủ bên ngoài mà không cần sự đồng ý của người dùng.
Kịch bản sập bẫy tàng hình
Khác với các loại virus lây lan qua phần mềm bẻ khóa, cuộc tấn công này nhắm trực tiếp vào thói quen làm việc hàng ngày của giới văn phòng:
Bước 1 - Mồi nhử: Nạn nhân nhận được một email giả mạo (Phishing) mang tính cấp bách (ví dụ: Thông báo thay đổi lương, Lời mời dự sự kiện quan trọng, hoặc Hóa đơn thanh toán) kèm theo một tệp đính kèm định dạng .doc, .docx hoặc .rtf.
Bước 2 - Kích hoạt ngầm: Ngay khi nạn nhân click mở tài liệu, lỗ hổng MSHTML lập tức được kích hoạt. Nó âm thầm bỏ qua lớp "Chế độ xem được bảo vệ" (Protected View) của Microsoft Office.
Bước 3 - Đánh cắp "Chìa khóa": Mã độc sẽ ép máy tính nạn nhân kết nối đến một máy chủ từ xa do hacker kiểm soát. Quá trình này giúp chúng đánh cắp được mã băm NTLM (NTLM Hash) – một dạng mật khẩu mã hóa của Windows. Có được mã băm này, hacker có thể tự do đi lại trong mạng nội bộ của công ty bạn.
3 "Lá chắn" bảo vệ bạn và doanh nghiệp
Lỗ hổng Zero-day luôn đáng sợ vì chúng đánh úp khi chúng ta chưa kịp phòng bị. Tuy nhiên, Microsoft đã nắm được tình hình và bạn cần hành động ngay:
Cập nhật Windows Update lập tức: Microsoft đã gấp rút phát hành bản vá cho CVE-2026-21513 trong bản cập nhật an ninh tháng 3/2026. Hãy vào Settings > Windows Update và nhấn Check for updates ngay bây giờ. Hãy nhớ khởi động lại máy sau khi cài đặt.
Nguyên tắc "Không mở file lạ": Tuyệt đối không nhấp đúp vào bất kỳ tệp đính kèm nào từ những email không rõ nguồn gốc. Nếu một đồng nghiệp đột nhiên gửi cho bạn một file lạ với tiêu đề bất thường, hãy gọi điện thoại trực tiếp để xác nhận xem họ có bị hack tài khoản hay không.
Vô hiệu hóa NTLM (Dành riêng cho IT Admin): Đối với các quản trị viên hệ thống mạng doanh nghiệp, hãy cân nhắc cấu hình Group Policy để chặn hoàn toàn các kết nối NTLM gửi ra ngoài Internet (Block NTLM Outbound Traffic). Điều này sẽ bẻ gãy hoàn toàn mục đích đánh cắp thông tin đăng nhập của chiến dịch này.
Sự tinh vi của APT28 nhắc nhở chúng ta rằng: Một cú click chuột vội vã vào tệp văn bản cũng đủ để mở toang cánh cửa an ninh của cả một tập đoàn.
Hương - Theo TheHackerNews
Đến hẹn lại lên, bản cập nhật bảo mật Patch Tuesday tháng 3/2026 của Microsoft đã chính thức được phát hành để khắc phục 84 lỗ hổng trên nhiều thành phần phần mềm. Đáng chú ý nhất, có tới 8 lỗ hổng được xếp hạng "Nghiêm trọng" (Critical) và 2 lỗ hổng Zero-day đã bị rò rỉ thông tin trước khi bản vá kịp ra mắt.
Salesforce vừa phát đi cảnh báo khẩn cấp về sự gia tăng đột biến của các nhóm tin tặc đang tích cực dò quét và khai thác các lỗ hổng cấu hình trên nền tảng Experience Cloud (các trang web dành cho khách hàng/đối tác). Chúng đang sử dụng một vũ khí tự động để hút sạch thông tin liên lạc của người dùng.
Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công chuỗi cung ứng (Supply Chain Attack) tinh vi. Trong đó, tin tặc đã âm thầm mua lại các tiện ích mở rộng (Extension) hợp pháp, có lượng người dùng lớn trên Chrome Web Store, sau đó đẩy một bản cập nhật chứa mã độc để chiếm đoạt dữ liệu của hàng triệu nạn nhân chỉ sau một đêm.
Trong một dự án hợp tác bảo mật mang tính bước ngoặt, công ty trí tuệ nhân tạo Anthropic đã cấp quyền cho siêu AI Claude Opus 4.6 phân tích mã nguồn của trình duyệt Firefox. Kết quả trả về đã làm chấn động giới công nghệ: AI này đã săn được 22 lỗ hổng bảo mật mới toanh với tốc độ mà con người không thể đuổi kịp.
Google Threat Analysis Group (TAG) vừa xác nhận tin tặc đang tích cực vũ khí hóa lỗ hổng CVE-2026-21385 để tiến hành các chiến dịch tấn công có chủ đích. Điểm đáng sợ là lỗ hổng này nhắm sâu vào các thành phần cốt lõi của hệ thống, cho phép kẻ xấu thâu tóm thiết bị của bạn một cách âm thầm.
