Tóm tắt bản cập nhật bảo mật Windows tháng 9 năm 2025

Vào thứ Ba tuần thứ hai hàng tháng, các quản trị viên hệ thống sẽ kiểm tra kỹ lưỡng các bản vá của Microsoft. Bản vá Thứ Ba tháng 9 năm 2025 cung cấp một gói dày đặc: 86 bản cập nhật bảo mật, bao gồm 9 bản cập nhật quan trọng và 2 lỗ hổng zero-day. Các bản cập nhật chính, KB5065426 cho Windows 11 24H2 và KB5065429 cho Windows 10 22H2, giải quyết các lỗ hổng có khả năng chiếm quyền điều khiển một máy trạm chưa được vá. Máy trạm khách hàng không phải là đối tượng duy nhất bị ảnh hưởng: Windows Server 2025, Azure và thậm chí cả Office 365 cũng nhận được các bản vá tương ứng. Dưới đây là những điều bạn cần biết trước khi nhấp vào “Tải xuống và Cài đặt” trong Windows Update. Quan trọng: Điểm nóng của Bản vá Thứ Ba Hai lỗ hổng zero-day đã gây xôn xao dư luận kể từ mùa hè. Lỗ hổng đầu tiên nằm trong giao thức SMB của Windows, cho phép thực thi mã từ xa trên các chia sẻ tệp. Lỗ hổng thứ hai ảnh hưởng đến SQL Server, được nhiều gói phần mềm sử dụng trong hệ thống back office. Nhóm Bảo mật của Microsoft đã công bố một số chi tiết tối thiểu để ngăn chặn việc khai thác, nhưng xác nhận mức độ rủi ro cao. Về phía máy khách, gói này khắc phục lỗi UAC do trình cài đặt MSI gây ra. Người dùng không phải quản trị viên đã thấy các hộp thoại không mong muốn mở ra khi sửa chữa Office 2010 hoặc AutoCAD. Cuối cùng, bản vá cho Windows Defender tăng cường khả năng phát hiện các tập lệnh PowerShell bị mã hóa, trong khi Trung tâm Bảo mật Windows hiện hiển thị cảnh báo rõ ràng khi cơ sở dữ liệu chữ ký lỗi thời. Windows 11 24H2: Các bản sửa lỗi quan trọng và biện pháp phòng ngừa mới kể từ bản dựng 26100.6584, KB5065426 Bản vá 81 lỗ hổng bảo mật và loại bỏ một số lỗi gây khó chịu. Quản trị viên IIS đã ghi nhận sự biến mất của các mô-đun trong bảng điều khiển: lỗi bắt nguồn từ xung đột sổ đăng ký, hiện đã được khắc phục. Một vấn đề khác là sự cố đầu vào khiến một số ứng dụng ngừng hoạt động sau khi chuyển sang chế độ ngủ. Bản vá khôi phục tính ổn định, nhưng lại gây ra một tác dụng phụ được các streamer báo cáo: việc cài đặt bản vá nóng trước đó KB5063878 gây ra hiện tượng “giật âm thanh” nhẹ trong OBS khi tính năng chụp ảnh màn hình đang hoạt động. Microsoft khuyến nghị trì hoãn việc chụp ảnh màn hình hoặc tắt tăng tốc âm thanh cho đến khi có bản vá mới. Tuy nhiên, bản cập nhật vẫn được phân loại là “Bắt buộc” trongWindows Update vì nó bao gồm tính năng bảo vệ hạt nhân nâng cao chống lại các cuộc tấn công NDI. Windows 10 22H2: Giai đoạn cuối cùng trước khi kết thúc hỗ trợ Thời điểm kết thúc hỗ trợ chính thức là ngày 14 tháng 10 năm 2025.KB5065429 do đó dường như là gói dịch vụ miễn phí áp chót. Ngoài việc thu thập bản vá truyền thống, bản vá này còn giải quyết sự cố WinSock chặn các socket được một số tác nhân giám sát sử dụng lại. Đối với các công ty muốn mở rộng bảo mật mà không cần di chuyển, Microsoft cung cấp một năm Cập nhật Bảo mật Mở rộng miễn phí nếu công ty đã đăng ký Azure Arc. Tùy chọn này tự động cài đặt các bản vá thông qua kênh Windows Update for Business. Một chi tiết chiến lược: khả năng tương thích của ứng dụng vẫn được giữ nguyên, không giống như việc chuyển sang Windows 11, đôi khi yêu cầu firmware TPM 2.0. Do đó, bộ phận CNTT được hưởng lợi từ sự chậm trễ này trong khi vẫn duy trì mức độ phòng thủ tốt. Người dùng gia đình có thể tải xuống bản cập nhật thủ công từ Danh mục Cập nhật Microsoft. Chỉ cần nhấp đúp vào tệp MSU là đủ, sau đó khởi động lại. Sự cảnh giác vẫn rất quan trọng: việc xác minh mã hóa BitLocker trước khi cài đặt sẽ tránh được thời gian chờ đợi lâu ở lần khởi động đầu tiên. Máy chủ và Đám mây: Tác động đến Windows Server và Azure Các cụm Hyper-V chạy Windows Server 2022 và 2025 đang nhận được bản vá sửa lỗi kết nối PowerShell Direct sau khi vá nóng. Lỗ hổng SMB đã đề cập ở trên cũng ảnh hưởng đến các môi trường cụm. Do đó, quản trị viên phải áp dụng bản cập nhật cho từng nút trước khi đưa sản xuất trở lại trực tuyến. Trên Azure, các hình ảnh thị trường đã được sao chép: việc triển khai lại nhanh chóng đảm bảo phạm vi phủ sóng. Đối với các trường hợp quan trọng, kênh Hotpatch giảm thời gian khởi động lại xuống còn 30 giây, tránh thời gian bảo trì kéo dài. Về mặt lưu trữ, Microsoft Edge dựa trên Chromium đang nhận được năm bản vá bên ngoài, ngăn chặn các lỗ hổng thoát khỏi hộp cát có thể tấn công các cổng quản trị web. Trong các trung tâm dữ liệu riêng tư, kiểm tra phục hồi sau thảm họa vẫn là biện pháp đảm bảo tốt nhất. Việc khôi phục bộ điều khiển miền đã vá trong phòng thí nghiệm sẽ cô lập các hồi quy tiềm ẩn, đặc biệt là những hồi quy liên quan đến trình điều khiển mạng 100 GbE. Triển khai các bản cập nhật mà không làm gián đoạn sản xuất Chiến lược được khuyến nghị cho năm 2025 dựa trên ba giai đoạn. Giai đoạn một, xác thực: một vòng thí điểm nhận bản vá thông qua Windows Update tiêu chuẩn và báo cáo các bất thường trong Trung tâm Bảo mật Windows. Giai đoạn hai, tổng quát hóa có kiểm soát: Azure Autopatch điều phối việc phân phối, tạo các cửa sổ khởi động lại được điều chỉnh theo múi giờ. Giai đoạn ba, giám sát: Windows Defender for Endpoint xác minh rằng các chữ ký chống vi-rút khớp với cấp độ mới nhất. Một trường hợp cụ thể minh họa tính hữu ích của phương pháp này: công ty hư cấu NetGame, nhà phát hành của một game MMO, đã tránh được sự cố ngừng hoạt động toàn cầu vì vòng thí điểm của họ phát hiện ra sự không tương thích của trình điều khiển âm thanh OBS trước đợt triển khai toàn cầu. Đối với các tổ chức nhỏ, một tập lệnh PowerShell đơn giản là đủ: nó kiểm tra danh mục, tải xuống MSUtương ứng với hệ thống, tạo điểm khôi phục và lên lịch khởi động lại ngoài giờ làm việc. Việc tự động hóa này giúp giảm thiểu cả công sức thủ công lẫn nguy cơ quên. Một mẹo cuối cùng: việc lưu trữ ổ USB có thể khởi động chứa ảnh Windows mới nhất cho phép sửa chữa ngoại tuyến trong trường hợp khởi động bị lỗi. Với những biện pháp phòng ngừa này, bề mặt tấn công sẽ được đóng lại mà không ảnh hưởng đến tính khả dụng.

Nguồn: www.ghacks.net