Sau bản cập nhật Bản vá thứ ba tháng 10 năm 2025, nhiều người dùng Windows bắt đầu báo cáo một sự cố khó chịu: ngăn xem trước File Explorer đột nhiên ngừng hoạt động đối với nhiều loại tệp phổ biến.
Tuy nhiên, điều có vẻ giống như một lỗi thực ra là một sự tăng cường bảo mật có chủ ý của Microsoft, ảnh hưởng đến cả Windows 11 và Windows 10.
Trong một động thái ưu tiên bảo mật hơn là sự tiện lợi, Microsoft về cơ bản đã thay đổi cốt lõi của File Explorer tính năng vá một lỗ hổng nghiêm trọng.
Sự thay đổi, triển khai cùng với các bản cập nhật KB5066835 dành cho Windows 11 và KB5066791 dành cho Windows 10, đang gây ra sự nhầm lẫn trên diện rộng và làm gián đoạn quy trình công việc đã thiết lập cho những người dùng dựa vào việc xem trước tài liệu được tải xuống từ Internet.
Bản sửa lỗi bảo mật, không phải lỗi
Thay vì xem trước tệp, giờ đây người dùng được chào đón bằng một thông báo cảnh báo. Như Tài liệu hỗ trợ chính thức của Microsoft giải thích, giờ đây, ngăn này sẽ hiển thị văn bản:”Tệp bạn đang cố xem trước có thể gây hại cho máy tính của bạn. Nếu bạn tin cậy tệp và nguồn mà bạn nhận được tệp từ đó, hãy mở tệp đó để xem nội dung của tệp.”
Sự thay đổi đột ngột khiến nhiều người mất cảnh giác, dẫn đến nhiều khiếu nại về các diễn đàn như Reddit. Đối với nhiều chuyên gia, điều này không chỉ là một sự khó chịu nhỏ.
Các chuyên gia xác minh hàng chục tài liệu PDF mới hàng ngày đều dựa vào tính năng xem trước. Nếu không có nó, mỗi tệp phải được bỏ chặn hoặc mở riêng lẻ, gây tốn thời gian và rắc rối đáng kể cho các tác vụ của chúng.
Cốt lõi của vấn đề nằm ở mã định danh bảo mật được gọi là”Mark of the Web”(MotW). Windows tự động áp dụng nhãn hiệu này cho bất kỳ tệp nào được tải xuống từ Internet, được đồng bộ hóa từ dịch vụ đám mây như OneDrive hoặc được truy cập từ mạng chia sẻ.
Theo Microsoft, “Chức năng xem trước bị tắt theo mặc định đối với các tệp được đánh dấu bằng Mark of the Web (MotW), cho biết chúng có nguồn gốc từ Vùng bảo mật Internet.”Bước chủ động này hiện là bước mặc định cho tất cả các tệp như vậy.
Cách thức hoạt động của lỗ hổng NTLM
Trọng tâm của sự thay đổi này là một lỗ hổng nghiêm trọng liên quan đến băm thông tin xác thực NTLM. Để hiểu mức độ nghiêm trọng, điều quan trọng là phải nắm được cách khai thác các hàm băm này. NTLM (Trình quản lý NT LAN) là một bộ bảo mật của Microsoft giao thức.
Khi người dùng truy cập tài nguyên mạng, hệ thống của họ có thể gửi hàm băm NTLM của mật khẩu để chứng minh danh tính của họ.
Trong cuộc tấn công “pass-the-hash”, kẻ thù không cần mật khẩu thực tế; họ chỉ cần nắm bắt hàm băm này.
Sau khi có nó, họ có thể sử dụng lại nó để mạo danh người dùng và giành quyền truy cập vào các hệ thống và dữ liệu khác trên mạng.
Lỗ hổng mà Microsoft đang vá đã cho phép một tệp độc hại lừa File Explorer gửi hàm băm này đến máy chủ do kẻ tấn công kiểm soát, chỉ bằng cách xem trước.
Bài viết hỗ trợ của công ty làm rõ rủi ro, lưu ý rằng, “Thay đổi này giảm thiểu lỗ hổng trong đó rò rỉ băm NTLM có thể xảy ra nếu người dùng xem trước các tệp chứa thẻ HTML (chẳng hạn như ,
Loại khai thác này, tương tự như được nêu chi tiết trong CVE-2025-24054, đặc biệt nguy hiểm vì nó yêu cầu sự tương tác tối thiểu của người dùng.
Bằng cách tắt tính năng xem trước đối với các tệp có nguồn gốc từ Internet, Microsoft sẽ ngăn chặn hành vi trộm cắp thông tin xác thực thầm lặng này từ bao giờ hết. đang xảy ra.
Khôi phục bản xem trước: Cách giải quyết và rủi ro
Đối với những người hiểu rõ rủi ro và cần khôi phục chức năng xem trước, Microsoft đã cung cấp các giải pháp giải quyết chính thức. Phương pháp trực tiếp nhất là xóa Mark of the Web theo cách thủ công trên cơ sở từng tệp.
Để thực hiện việc này, người dùng có thể nhấp chuột phải vào tệp đã tải xuống, chọn Thuộc tính và trên tab Chung, chọn hộp Bỏ chặn ở dưới cùng.
Sau khi áp dụng thay đổi này, khung xem trước sẽ hoạt động như trước đây đối với điều đó tệp cụ thể.
Đối với các tệp nằm trên mạng chia sẻ, có sẵn giải pháp rộng hơn nhưng tiềm ẩn nhiều rủi ro hơn. Người dùng có thể thêm địa chỉ chia sẻ tệp vào vùng bảo mật Mạng nội bộ cục bộ hoặc Trang web đáng tin cậy thông qua bảng điều khiển Tùy chọn Internet cổ điển.
Điều này yêu cầu Windows tin cậy tất cả nội dung từ nguồn đó nhưng đó là một sự đánh đổi đáng kể về mặt bảo mật. Microsoft cảnh báo điều này sẽ nới lỏng tình trạng bảo mật cho mọi tệp trên chia sẻ đó, bỏ qua hoàn toàn biện pháp bảo vệ MotW cho vị trí đó một cách hiệu quả.
Bình thường mới: Bảo mật theo mặc định
Động thái này của Microsoft là một phần trong xu hướng rộng hơn của ngành hướng tới quan điểm”bảo mật theo mặc định”. Các nhà phát triển hệ điều hành ngày càng sẵn sàng tạo ra sự ma sát với người dùng để ngăn chặn các vectơ tấn công tiềm ẩn.
Chúng tôi thấy những triết lý tương tự trong macOS Gatekeeper của Apple, trong đó xem xét kỹ lưỡng các ứng dụng từ các nhà phát triển không xác định và trong các trình duyệt web hiện đại hiển thị cảnh báo nổi bật về các lượt tải xuống không an toàn.
Đối với quản trị viên CNTT, sự thay đổi này đặt ra những thách thức mới trong việc cân bằng các chính sách bảo mật được quản lý tập trung với năng suất của nhân viên.
Mặc dù ngăn xem trước bị vô hiệu hóa có thể gây bất tiện nhưng nó báo hiệu một kỷ nguyên mới nơi người dùng và tổ chức phải thận trọng hơn trong việc tin tưởng vào nội dung kỹ thuật số, coi mọi tệp trên Internet là có khả năng bị nghi ngờ cho đến khi được chứng minh là khác.
Cách bỏ chặn tải xuống trong Windows 11
Khi bạn tải xuống một tệp, Windows thường chặn tệp đó hoặc hiển thị cảnh báo để ngăn bạn làm hại PC của mình. Tuy nhiên, Trình quản lý tệp đính kèm được sử dụng để bảo vệ này thường chặn các tệp hoàn toàn an toàn, do đó, có thể cần phải biết cách bỏ chặn tệp trên Windows 11 để bạn có thể chạy tệp đó mà không bị gián đoạn.
