-
09/04/2020
-
141
-
1.976 bài viết
Microsoft cảnh báo lỗ hổng Exchange Server đang bị khai thác qua email
Microsoft vừa cảnh báo về một lỗ hổng zero-day trên Exchange Server đang bị khai thác trong thực tế. Lỗ hổng mang mã CVE-2026-42897 cho phép tin tặc thực thi mã JavaScript trong phiên làm việc của người dùng thông qua một email được tạo đặc biệt, mở ra nguy cơ đánh cắp thông tin xác thực và chiếm quyền truy cập hộp thư.
Theo Microsoft, lỗ hổng nằm trong Outlook Web Access (OWA), giao diện web cho phép người dùng truy cập hộp thư Exchange thông qua trình duyệt. Nguyên nhân bắt nguồn từ việc dữ liệu đầu vàokhông được xử lý và vô hiệu hóa đúng cách khi tạo nội dung trang web, tạo điều kiện cho các cuộc tấn công cross-site scripting (XSS).
Kẻ tấn công không cần xác thực hay sở hữu quyền truy cập trước vào hệ thống mục tiêu. Chỉ cần gửi một email được tạo đặc biệt và khiến nạn nhân mở thư thông qua OWA, mã JavaScript do tin tặc kiểm soát có thể được thực thi trong phiên đăng nhập hiện tại của người dùng. Sau khi khai thác thành công, kẻ tấn công có thể đánh cắp thông tin xác thực, chiếm quyền phiên làm việc, giả mạo thư điện tử hoặc thực hiện các hành động dưới danh nghĩa nạn nhân.
Microsoft cho biết các cuộc tấn công khai thác CVE-2026-42897 đã được ghi nhận trong thực tế, khiến lỗ hổng này được xếp vào nhóm cần ưu tiên xử lý khẩn cấp. Với điểm CVSS 8.1, CVE-2026-42897 ảnh hưởng đến tất cả các mức cập nhật của Exchange Server 2016, Exchange Server 2019 và Exchange Server Subscription Edition (SE). Dịch vụ Exchange Online trong Microsoft 365 hiện không nằm trong phạm vi tác động.
Khác với nhiều chiến dịch tấn công qua email thường dựa vào liên kết hoặc tệp đính kèm độc hại, CVE-2026-42897 lợi dụng trực tiếp cách OWA xử lý và hiển thị nội dung thư điện tử. Khi nạn nhân mở email được tạo đặc biệt, mã JavaScript của kẻ tấn công có thể được thực thi ngay trong phiên trình duyệt đang đăng nhập. Cách thức này giúp mã độc ẩn mình trong hoạt động thư điện tử thông thường, làm tăng nguy cơ bị bỏ sót bởi các cơ chế phát hiện truyền thống.
Trước việc lỗ hổng đã bị khai thác ngoài thực tế, Microsoft đã kích hoạt cơ chế bảo vệ khẩn cấp thông qua Exchange Emergency Mitigation Service (EM Service) trên các hệ thống Exchange được hỗ trợ. Dịch vụ này có khả năng tự động triển khai các biện pháp giảm thiểu mà không yêu cầu quản trị viên can thiệp ngay lập tức, giúp thu hẹp cửa sổ tấn công trong thời gian chờ cài đặt bản vá chính thức. Đối với các môi trường không kết nối Internet hoặc vận hành trong mạng nội bộ tách biệt, Microsoft cung cấp công cụ Exchange On-Premises Mitigation Tool (EOMT) để quản trị viên chủ động áp dụng các biện pháp bảo vệ trên từng máy chủ.
Hãng cũng đã phát hành bản vá bảo mật chính thức trong đợt cập nhật tháng 6/2026 cho các phiên bản Exchange được hỗ trợ. Microsoft khuyến nghị các tổ chức cài đặt bản vá sớm nhất có thể và tiếp tục duy trì các biện pháp giảm thiểu hiện có như một lớp bảo vệ bổ sung. Microsoft lưu ý rằng một số tính năng của OWA có thể bị ảnh hưởng sau khi áp dụng cơ chế giảm thiểu, bao gồm hiển thị hình ảnh nội tuyến, in lịch và một số chức năng liên quan đến lịch làm việc. Các hạn chế này dự kiến sẽ được loại bỏ sau khi hệ thống được cập nhật đầy đủ bản vá mới nhất.
Việc một lỗ hổng Exchange Server bị khai thác dưới dạng zero-day cho thấy máy chủ thư điện tử vẫn là mục tiêu có giá trị đối với các nhóm tấn công mạng. Các tổ chức đang vận hành Exchange Server nên khẩn trương rà soát hệ thống, triển khai bản vá và theo dõi các dấu hiệu bất thường để giảm nguy cơ bị xâm nhập.