Người dùng Microsoft Defender for Endpoint, đặc biệt là những ai sử dụng thiết bị Dell, đang đối mặt với sự cố phổ biến liên quan đến các cảnh báo bảo mật Hệ thống đầu vào/đầu ra cơ bản (BIOS) giả mạo. Nguyên nhân được xác định là một lỗi phần mềm nghiêm trọng trong cơ chế phát hiện lỗ hổng.

Tổng quan sự cố cảnh báo BIOS giả mạo trên Dell

Sự cố này bắt đầu xuất hiện vào ngày 2 tháng 10 năm 2025, buộc Microsoft phải ban hành thông báo suy giảm dịch vụ, ảnh hưởng đến nhiều tổ chức trên toàn cầu. Thông báo này có thể được tìm thấy trên các kênh liên lạc chính thức của Microsoft, như thông tin về dịch vụ của Microsoft 365.

Lỗi này đặc biệt nhắm vào người dùng thiết bị Dell trong môi trường Microsoft 365, tạo ra các thông báo lỗ hổng không chính xác. Các cảnh báo này thúc đẩy người dùng cập nhật phiên bản BIOS của họ, ngay cả khi hệ thống đã chạy firmware mới nhất.

Tình trạng này đã gây ra sự nhầm lẫn đáng kể cho các quản trị viên IT và người dùng cuối. Họ liên tục nhận được các cảnh báo bảo mật có vẻ hợp lệ, mặc dù hệ thống của họ đã được bảo trì đúng cách và cập nhật đầy đủ.

Phân tích kỹ thuật nguyên nhân gốc rễ

Microsoft đã xác định nguyên nhân cốt lõi là một lỗi mã (code defect) trong logic phát hiện lỗ hổng của Microsoft Defender for Endpoint. Cơ chế này chịu trách nhiệm tìm nạp và phân tích dữ liệu lỗ hổng từ các thiết bị.

Cơ chế bị lỗi này đã đánh dấu sai các cài đặt BIOS đã được cập nhật là lỗi thời hoặc dễ bị tổn thương trên các thiết bị Dell. Điều này đã kích hoạt các cảnh báo bảo mật tự động trên các mạng bị ảnh hưởng, gây ra tình trạng báo động giả tràn lan.

Gã khổng lồ công nghệ đã xác nhận vấn đề thông qua các kênh truyền thông chính thức về tình trạng dịch vụ. Sự cố này được gán mã tham chiếu DZ1163521 để theo dõi và quản lý.

Cơ chế phát hiện lỗ hổng bị sai lệch

Lỗi nằm ở cách Microsoft Defender for Endpoint xử lý dữ liệu liên quan đến BIOS của Dell. Thay vì xác định chính xác phiên bản và trạng thái bảo mật, hệ thống lại đưa ra kết luận sai lệch.

Điều này cho thấy một sự cố nghiêm trọng trong việc phân tích và đối chiếu thông tin về firmware, vốn là yếu tố quan trọng trong việc duy trì an ninh mạng. Sự thiếu chính xác này có thể dẫn đến sự mất tin cậy vào các công cụ bảo mật tự động.

Hậu quả và Tác động đối với Hệ thống

Phạm vi tác động của sự cố này không chỉ giới hạn ở người dùng cá nhân mà còn mở rộng ra toàn bộ các tổ chức. Các hệ thống triển khai Microsoft Defender for Endpoint nhận được hàng loạt cảnh báo giả mạo.

Kết quả là gánh nặng hành chính không cần thiết và tiềm năng phân bổ nguồn lực sai mục tiêu. Các đội ngũ IT phải dành thời gian quý báu để điều tra các lỗ hổng bảo mật không tồn tại, làm gián đoạn các công việc quan trọng hơn.

Rủi ro tiềm ẩn từ cảnh báo sai

Các cảnh báo sai (false positives) có thể chuyển hướng các nguồn lực an ninh mạng có giá trị khỏi các mối đe dọa thực sự. Điều này tạo ra một rủi ro đáng kể, vì các cuộc tấn công thực có thể bị bỏ qua trong bối cảnh các cảnh báo vô căn cứ.

Hơn nữa, tình trạng này có thể làm suy yếu lòng tin của người dùng và quản trị viên vào các hệ thống bảo mật tự động. Nếu một công cụ như Microsoft Defender for Endpoint liên tục đưa ra cảnh báo không chính xác, hiệu quả của nó sẽ bị nghi ngờ.

Khuyến nghị và Giải pháp Khắc phục

Các nhóm bảo mật IT được khuyến nghị thận trọng khi phản hồi các thông báo cập nhật BIOS từ Microsoft Defender for Endpoint, đặc biệt trên các nền tảng phần cứng Dell. Việc xác minh độc lập là cực kỳ quan trọng.

Các tổ chức nên xác minh phiên bản BIOS một cách độc lập thông qua các kênh hỗ trợ chính thức của Dell hoặc kiểm tra trực tiếp hệ thống. Điều này cần được thực hiện trước khi triển khai bất kỳ bản cập nhật firmware nào.

Đội ngũ kỹ thuật của Microsoft đã phát triển một bản sửa lỗi chuyên biệt để khắc phục logic mã bị lỗi. Họ đang chuẩn bị triển khai bản vá này cho các môi trường bị ảnh hưởng.

Theo cập nhật mới nhất từ Microsoft, công ty dự kiến bắt đầu triển khai bản vá sửa lỗi vào cửa sổ liên lạc tiếp theo của họ. Sự cố vẫn được phân loại là “OPEN” với các nỗ lực giám sát và khắc phục đang diễn ra tích cực.

Thông tin chi tiết về sự cố ban đầu và các cảnh báo liên quan có thể được tham khảo tại thông báo suy giảm dịch vụ của Microsoft 365.

Cập nhật Tình hình và Theo dõi

Microsoft cam kết cung cấp các bản cập nhật thường xuyên về tiến độ khắc phục. Thông báo tiếp theo dự kiến vào Thứ Sáu, ngày 3 tháng 10 năm 2025, lúc 9:00 AM UTC.

Các tổ chức bị ảnh hưởng bởi vấn đề này nên theo dõi bảng điều khiển tình trạng dịch vụ của Microsoft để cập nhật trạng thái theo thời gian thực và lịch trình triển khai bản sửa lỗi. Việc này sẽ giúp đảm bảo hệ thống được cập nhật chính xác và giảm thiểu rủi ro từ các cảnh báo sai.