Lỗ hổng Secure Boot nghiêm trọng: Khẩn cấp vá ngay!

Microsoft đã công bố và xử lý một lỗ hổng Secure Boot nghiêm trọng, định danh CVE-2026-21265, liên quan đến việc bỏ qua tính năng bảo mật trong chứng chỉ Windows Secure Boot. Bản vá cho lỗ hổng Secure Boot này được phát hành trong các bản cập nhật Patch Tuesday tháng 1 năm 2026.

Chi tiết Lỗ hổng CVE-2026-21265

Nguyên nhân gốc rễ của lỗ hổng Secure Boot này xuất phát từ các chứng chỉ thời kỳ năm 2011 đang dần hết hạn. Các chứng chỉ này là nền tảng cho chuỗi tin cậy của Secure Boot.

Nếu không được cập nhật, lỗ hổng Secure Boot có khả năng cho phép kẻ tấn công làm gián đoạn tính toàn vẹn của quá trình khởi động hệ thống. Điều này ảnh hưởng trực tiếp đến quy trình boot của Windows.

CVE-2026-21265 được đánh giá là Important với điểm CVSS v3.1 cơ sở là 6.4. Mặc dù nghiêm trọng, việc khai thác lỗ hổng Secure Boot này đòi hỏi:

• Quyền truy cập cục bộ (local access).
• Đặc quyền cao (high privileges).
• Độ phức tạp tấn công cao (high attack complexity).

Những yếu tố này làm cho khả năng khai thác thành công trở nên thấp hơn. Lỗ hổng CVE-2026-21265 phát sinh do các chứng chỉ của Microsoft, được lưu trữ trong UEFI KEK và DB, đang đến gần ngày hết hạn vào giữa năm 2026.

Nếu không có các cập nhật bản vá, nguy cơ Secure Boot thất bại là rất cao. Microsoft đã công bố công khai lỗ hổng Secure Boot này, tuy nhiên, chưa có bằng chứng về việc khai thác trong thực tế.

Ba chứng chỉ cốt lõi năm 2011 phải được gia hạn để duy trì chức năng Secure Boot. Chi tiết về lỗ hổng CVE-2026-21265 có thể tham khảo thêm tại Microsoft Security Response Center.

Cơ chế Ảnh hưởng và Rủi ro Bảo mật

Các khiếm khuyết trong firmware của cơ chế cập nhật chứng chỉ hệ điều hành có thể phá vỡ chuỗi tin cậy. Điều này ảnh hưởng đến Windows Boot Manager và các trình tải bên thứ ba.

Thất bại trong việc cập nhật bản vá sẽ khiến các thiết bị dễ bị tấn công trong quá trình khởi động (boot-time attacks). Đây là một rủi ro bảo mật đáng kể, như Microsoft đã lưu ý trong bản tư vấn tháng 11 năm 2025.

Hậu quả tiềm tàng bao gồm việc kẻ tấn công có thể chèn mã độc vào giai đoạn khởi động. Điều này giúp chúng duy trì quyền kiểm soát hoặc làm hỏng hệ thống.

Biện pháp Khắc phục và Khuyến nghị cho Lỗ hổng Secure Boot

Microsoft khuyến nghị triển khai ngay lập tức các chứng chỉ thay thế năm 2023. Đây là bước cần thiết để giải quyết lỗ hổng Secure Boot và đảm bảo an toàn hệ thống.

Các bản vá nhắm mục tiêu vào các phiên bản Windows Server cũ (legacy) và các phiên bản được hỗ trợ mở rộng (extended-support editions). Tất cả đều được đánh dấu là cần hành động từ khách hàng.

Các tổ chức sử dụng cập nhật do CNTT quản lý hoặc do Microsoft quản lý cần ưu tiên triển khai. Việc này nhằm đảm bảo không có rủi ro từ lỗ hổng Secure Boot.

Trước khi triển khai, điều quan trọng là phải xác minh khả năng tương thích của firmware. Điều này giúp tránh các vấn đề khởi động sau khi áp dụng bản vá.

Các bước hành động khuyến nghị:

• Kiểm tra hệ thống: Xác định các thiết bị đang chạy các phiên bản Windows Server legacy hoặc extended-support.
• Triển khai bản vá: Đảm bảo rằng tất cả các bản cập nhật Patch Tuesday tháng 1 năm 2026 được cài đặt đầy đủ.
• Xác minh firmware: Kiểm tra tính tương thích của firmware với các chứng chỉ mới.
• Giám sát: Theo dõi hệ thống sau khi vá lỗi để phát hiện bất kỳ vấn đề phát sinh nào.

Việc bỏ qua các cập nhật bản vá này có thể dẫn đến những hậu quả nghiêm trọng về an toàn thông tin. Việc xử lý kịp thời lỗ hổng Secure Boot là rất cần thiết.