CVE-2026-21514: Lỗ hổng nguy hiểm trên Microsoft Word đe dọa hàng triệu người dùng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
125
1.599 bài viết
CVE-2026-21514: Lỗ hổng nguy hiểm trên Microsoft Word đe dọa hàng triệu người dùng
WhiteHat Team
Một file Word tưởng như vô hại có thể âm thầm vượt qua toàn bộ lớp cảnh báo bảo mật quen thuộc của Office. Không cần bật macro, không cần nhấn “Enable Content”, nạn nhân chỉ cần mở tài liệu là đủ để kích hoạt chuỗi khai thác. Đó là kịch bản đang diễn ra với CVE-2026-21514, lỗ hổng zero-day vừa được Microsoft xác nhận đã bị khai thác ngoài thực tế.
word vul.png

CVE-2026-21514 được phân loại là lỗ hổng vượt qua cơ chế bảo vệ với điểm CVSS 7.8. Nguyên nhân xuất phát từ việc Microsoft Word dựa vào dữ liệu đầu vào chưa được kiểm tra đầy đủ để đưa ra quyết định bảo mật, một dạng sai sót thuộc nhóm CWE-807.

Điểm yếu nằm ở cơ chế Object Linking and Embedding, công nghệ cho phép tài liệu Word nhúng hoặc liên kết nội dung từ ứng dụng khác, chẳng hạn như bảng tính Excel hay các thành phần hệ thống trong Windows. Cơ chế này hoạt động thông qua các đối tượng phần mềm có thể tương tác từ bên ngoài tài liệu. Khi quá trình kiểm tra không đủ chặt chẽ, kẻ tấn công có thể lợi dụng khả năng nhúng này để chèn thành phần độc hại vào file và kích hoạt khi người dùng mở tài liệu.

Trong một số điều kiện nhất định, kẻ tấn công có thể tạo ra tài liệu Word được thiết kế riêng nhằm lách qua các cơ chế kiểm soát mà Microsoft áp dụng đối với tính năng Object Linking and Embedding, cơ chế cho phép tài liệu nhúng hoặc liên kết nội dung từ ứng dụng khác vào trong Word. Về mặt kỹ thuật, việc khai thác không đòi hỏi đặc quyền trên hệ thống và có độ phức tạp thấp. Tuy nhiên, yếu tố then chốt vẫn là tương tác của người dùng, cụ thể là mở tệp độc hại. Trong thực tế, các tài liệu này thường được phát tán qua email lừa đảo hoặc các chiến dịch tấn công có chủ đích dựa trên kỹ thuật thao túng tâm lý.

Điểm đáng lo ngại là cơ chế cảnh báo mặc định của Office như Protected View hay yêu cầu bật nội dung có thể bị vô hiệu hóa trong kịch bản khai thác này. Điều đó khiến người dùng mất đi lớp phòng thủ trực quan cuối cùng, trong khi hành vi thực thi đã diễn ra ở hậu trường.

Microsoft xác nhận đã tồn tại mã khai thác hoạt động và lỗ hổng đã bị sử dụng trong các cuộc tấn công thực tế. Ảnh hưởng trải rộng trên Microsoft 365 Apps for Enterprise, Office LTSC 2021 và 2024, bao gồm cả phiên bản dành cho macOS.

Bản vá đã được phát hành thông qua cơ chế Click to Run trên Windows và phiên bản 16.106.26020821 trên Mac. CISA yêu cầu các cơ quan liên bang Mỹ hoàn tất cập nhật trước ngày 3/3/2026, cho thấy mức độ ưu tiên xử lý cao.

Trong bối cảnh khai thác đã xảy ra ngoài thực tế, việc vá lỗi cần được xem là hành động khẩn cấp. Song song đó, các tổ chức nên siết chặt chính sách xử lý OLE qua Group Policy, tăng cường kiểm soát email chứa tệp Office và duy trì huấn luyện người dùng về rủi ro từ tài liệu không rõ nguồn gốc. Khi các cơ chế cảnh báo có thể bị lách qua, phòng thủ nhiều lớp vẫn là lớp bảo vệ đáng tin cậy nhất.
Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • React2Shell bị vũ khí hóa, framework ILOVEPOOP càn quét hệ thống Next.js trên toàn cầu
  • Lỗ hổng zero-day trong Windows DWM đang bị khai thác để chiếm quyền SYSTEM
  • Ba ông lớn bán dẫn thay nhau vá hàng loạt lỗ hổng nghiêm trọng
  • Lỗ hổng MSHTML bị khai thác thực tế, đe dọa hệ thống Windows phụ thuộc IE mode
  • React2Shell bị vũ khí hóa, framework ILOVEPOOP càn quét hệ thống Next.js trên toàn cầu
  • SAP phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng trong CRM, S/4HANA và NetWeaver
    • Thẻ
    cve-2026-21514 microsoft word zero-day
    Bên trên