-
09/04/2020
-
141
-
1.897 bài viết
Microsoft cảnh báo lỗ hổng Exchange Server đang bị khai thác
Microsoft vừa phát đi cảnh báo khẩn về một lỗ hổng trong các phiên bản cài đặt nội bộ của Exchange Server, nền tảng email doanh nghiệp được sử dụng rộng rãi trên toàn cầu. Điều đáng lo ngại là lỗ hổng này đã bị khai thác ngoài thực tế trước khi bản vá chính thức được phát hành, làm gia tăng nguy cơ tấn công vào hệ thống thư điện tử của doanh nghiệp, cơ quan và tổ chức chính phủ.
Theo Microsoft, lỗ hổng được định danh là CVE-2026-42897, có điểm CVSS 8,1, ảnh hưởng đến Microsoft Exchange Server 2016, Exchange Server 2019 và Exchange Server Subscription Edition (SE) chạy tại chỗ. Dịch vụ Exchange Online trên nền tảng đám mây của Microsoft 365 hiện không bị ảnh hưởng.
Lỗ hổng CVE-2026-42897 là gì?
Đây là một lỗ hổng giả mạo bắt nguồn từ lỗi Cross-Site Scripting (XSS) trong quá trình Exchange Server tạo và hiển thị nội dung trang web. Một nhà nghiên cứu ẩn danh được ghi nhận là người đầu tiên phát hiện và báo cáo lỗi này cho Microsoft.
Về bản chất, lỗ hổng cho phép kẻ tấn công gửi một email được thiết kế đặc biệt đến nạn nhân. Khi người dùng mở email thông qua Outlook Web Access (OWA) và thực hiện một số thao tác tương tác nhất định, mã JavaScript độc hại có thể được thực thi ngay trong trình duyệt của nạn nhân.
Điều này đồng nghĩa hacker có thể lợi dụng phiên làm việc của người dùng để thực hiện các hành vi giả mạo, đánh cắp phiên đăng nhập, chiếm quyền truy cập email hoặc dẫn dụ người dùng sang các trang độc hại khác mà họ không hề hay biết.
Về bản chất, lỗ hổng cho phép kẻ tấn công gửi một email được thiết kế đặc biệt đến nạn nhân. Khi người dùng mở email thông qua Outlook Web Access (OWA) và thực hiện một số thao tác tương tác nhất định, mã JavaScript độc hại có thể được thực thi ngay trong trình duyệt của nạn nhân.
Điều này đồng nghĩa hacker có thể lợi dụng phiên làm việc của người dùng để thực hiện các hành vi giả mạo, đánh cắp phiên đăng nhập, chiếm quyền truy cập email hoặc dẫn dụ người dùng sang các trang độc hại khác mà họ không hề hay biết.
Vì sao lỗ hổng này nguy hiểm?
Điểm đáng lo ngại của CVE-2026-42897 nằm ở việc nó đang bị khai thác thực tế. Microsoft đã gắn nhãn “Exploitation Detected”, tức hãng đã ghi nhận hoạt động tấn công ngoài môi trường thực.
Trong các hệ thống doanh nghiệp, Exchange Server thường là trung tâm giao tiếp nội bộ, lưu trữ email, lịch làm việc, tài liệu trao đổi và nhiều dữ liệu nhạy cảm khác. Nếu kẻ tấn công chiếm được quyền truy cập vào tài khoản email hoặc phiên làm việc của nhân viên, hậu quả có thể lan rộng ra toàn bộ hạ tầng công nghệ thông tin.
Các chuyên gia an ninh mạng nhận định loại lỗ hổng XSS trong hệ thống email doanh nghiệp đặc biệt nguy hiểm vì người dùng thường có xu hướng tin tưởng email nội bộ hoặc email liên quan đến công việc. Chỉ cần một email độc hại được mở đúng điều kiện, kẻ tấn công có thể âm thầm chèn mã độc vào trình duyệt và thao túng phiên đăng nhập.
Ngoài nguy cơ đánh cắp tài khoản, hacker còn có thể sử dụng lỗ hổng này để phát tán mã độc, triển khai các chiến dịch lừa đảo nội bộ hoặc leo thang tấn công sang các hệ thống khác trong doanh nghiệp.
Trong các hệ thống doanh nghiệp, Exchange Server thường là trung tâm giao tiếp nội bộ, lưu trữ email, lịch làm việc, tài liệu trao đổi và nhiều dữ liệu nhạy cảm khác. Nếu kẻ tấn công chiếm được quyền truy cập vào tài khoản email hoặc phiên làm việc của nhân viên, hậu quả có thể lan rộng ra toàn bộ hạ tầng công nghệ thông tin.
Các chuyên gia an ninh mạng nhận định loại lỗ hổng XSS trong hệ thống email doanh nghiệp đặc biệt nguy hiểm vì người dùng thường có xu hướng tin tưởng email nội bộ hoặc email liên quan đến công việc. Chỉ cần một email độc hại được mở đúng điều kiện, kẻ tấn công có thể âm thầm chèn mã độc vào trình duyệt và thao túng phiên đăng nhập.
Ngoài nguy cơ đánh cắp tài khoản, hacker còn có thể sử dụng lỗ hổng này để phát tán mã độc, triển khai các chiến dịch lừa đảo nội bộ hoặc leo thang tấn công sang các hệ thống khác trong doanh nghiệp.
Cơ chế khai thác diễn ra như thế nào?
Theo mô tả kỹ thuật từ Microsoft, kẻ tấn công sẽ tạo một email chứa mã JavaScript độc hại được nhúng theo cách đặc biệt nhằm vượt qua quá trình xử lý nội dung của Exchange Server.
Khi người dùng mở email qua Outlook Web Access, mã JavaScript này có thể được thực thi trực tiếp trong trình duyệt nếu đáp ứng đủ điều kiện tương tác. Từ đó, hacker có thể giả mạo giao diện, đánh cắp cookie phiên đăng nhập, thực hiện hành động thay mặt người dùng hoặc chuyển hướng nạn nhân tới các trang web giả mạo.
Điểm nguy hiểm là cuộc tấn công không yêu cầu kẻ xấu phải đăng nhập trước vào hệ thống Exchange. Chỉ cần gửi email thành công đến mục tiêu là đã có thể tạo điều kiện khai thác.
Hiện Microsoft chưa công bố chi tiết về nhóm tin tặc đứng sau các hoạt động tấn công cũng như quy mô cụ thể của các chiến dịch khai thác ngoài thực tế. Tuy nhiên, việc Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung CVE-2026-42897 vào danh mục KEV cho thấy mức độ nghiêm trọng của sự cố.
Khi người dùng mở email qua Outlook Web Access, mã JavaScript này có thể được thực thi trực tiếp trong trình duyệt nếu đáp ứng đủ điều kiện tương tác. Từ đó, hacker có thể giả mạo giao diện, đánh cắp cookie phiên đăng nhập, thực hiện hành động thay mặt người dùng hoặc chuyển hướng nạn nhân tới các trang web giả mạo.
Điểm nguy hiểm là cuộc tấn công không yêu cầu kẻ xấu phải đăng nhập trước vào hệ thống Exchange. Chỉ cần gửi email thành công đến mục tiêu là đã có thể tạo điều kiện khai thác.
Hiện Microsoft chưa công bố chi tiết về nhóm tin tặc đứng sau các hoạt động tấn công cũng như quy mô cụ thể của các chiến dịch khai thác ngoài thực tế. Tuy nhiên, việc Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung CVE-2026-42897 vào danh mục KEV cho thấy mức độ nghiêm trọng của sự cố.
Những hệ thống nào bị ảnh hưởng?
Microsoft xác nhận các phiên bản sau đang chịu tác động:
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
- Microsoft Exchange Server Subscription Edition (SE)
Đáng chú ý, tất cả các mức cập nhật (update level) của các phiên bản trên đều bị ảnh hưởng. Trong khi đó, Exchange Online trên Microsoft 365 không nằm trong phạm vi tác động do sử dụng kiến trúc và cơ chế bảo vệ khác.
Microsoft đã phát hành bản vá chưa?
Tính đến thời điểm công bố cảnh báo, Microsoft vẫn chưa phát hành bản vá chính thức cho CVE-2026-42897. Thay vào đó, hãng đang triển khai biện pháp giảm thiểu tạm thời thông qua Exchange Emergency Mitigation Service (EEMS).
Dịch vụ này sẽ tự động áp dụng cấu hình URL Rewrite để ngăn chặn hành vi khai thác lỗ hổng. Theo Microsoft, EEMS được bật mặc định trên Exchange Server. Nếu doanh nghiệp đã tắt dịch vụ này, cần kích hoạt lại ngay lập tức.
Đối với các môi trường tách biệt mạng (air-gap) hoặc không thể sử dụng EEMS, Microsoft khuyến nghị quản trị viên tải và sử dụng công cụ Exchange On-premises Mitigation Tool (EOMT) để áp dụng biện pháp giảm thiểu thủ công trên từng máy chủ hoặc toàn bộ hệ thống Exchange.
Microsoft cũng lưu ý có một lỗi hiển thị khiến trạng thái mitigation hiện thông báo “Mitigation invalid for this exchange version”, nhưng đây chỉ là lỗi giao diện và biện pháp giảm thiểu vẫn hoạt động bình thường nếu trạng thái hiển thị “Applied”.
Dịch vụ này sẽ tự động áp dụng cấu hình URL Rewrite để ngăn chặn hành vi khai thác lỗ hổng. Theo Microsoft, EEMS được bật mặc định trên Exchange Server. Nếu doanh nghiệp đã tắt dịch vụ này, cần kích hoạt lại ngay lập tức.
Đối với các môi trường tách biệt mạng (air-gap) hoặc không thể sử dụng EEMS, Microsoft khuyến nghị quản trị viên tải và sử dụng công cụ Exchange On-premises Mitigation Tool (EOMT) để áp dụng biện pháp giảm thiểu thủ công trên từng máy chủ hoặc toàn bộ hệ thống Exchange.
Microsoft cũng lưu ý có một lỗi hiển thị khiến trạng thái mitigation hiện thông báo “Mitigation invalid for this exchange version”, nhưng đây chỉ là lỗi giao diện và biện pháp giảm thiểu vẫn hoạt động bình thường nếu trạng thái hiển thị “Applied”.
Nguy cơ đối với doanh nghiệp và người dùng
Các hệ thống email doanh nghiệp luôn là mục tiêu hấp dẫn đối với tin tặc vì chứa khối lượng lớn dữ liệu nội bộ, thông tin khách hàng và tài liệu quan trọng.
Nếu CVE-2026-42897 bị khai thác thành công, hacker có thể:
Nếu CVE-2026-42897 bị khai thác thành công, hacker có thể:
- Đánh cắp phiên đăng nhập Outlook Web Access
- Giả mạo người dùng để gửi email nội bộ
- Thu thập dữ liệu email nhạy cảm
- Triển khai chiến dịch lừa đảo tiếp theo trong doanh nghiệp
- Mở đường cho tấn công ransomware hoặc đánh cắp dữ liệu diện rộng
Đặc biệt, các cơ quan chính phủ, tổ chức tài chính, giáo dục và doanh nghiệp lớn sử dụng Exchange Server on-premise có nguy cơ trở thành mục tiêu ưu tiên.
Các chuyên gia khuyến nghị gì?
Các chuyên gia an ninh mạng khuyến cáo quản trị viên Exchange cần hành động ngay thay vì chờ bản vá chính thức.
Một số biện pháp quan trọng bao gồm:
Một số biện pháp quan trọng bao gồm:
- Kích hoạt và kiểm tra trạng thái của Exchange Emergency Mitigation Service (EEMS)
- Áp dụng công cụ EOMT nếu hệ thống không thể sử dụng EEMS
- Theo dõi log truy cập Outlook Web Access để phát hiện hành vi bất thường
- Giới hạn quyền truy cập OWA từ internet nếu không cần thiết
- Kích hoạt xác thực đa yếu tố (MFA) cho tài khoản email doanh nghiệp
- Huấn luyện nhân viên cảnh giác với email bất thường, kể cả email nội bộ
- Chuẩn bị kế hoạch ứng phó sự cố nếu phát hiện dấu hiệu bị khai thác
Việc Microsoft xác nhận lỗ hổng đang bị khai thác thực tế trước cả khi có bản vá hoàn chỉnh là dấu hiệu cho thấy các nhóm tin tặc đang tận dụng rất nhanh các điểm yếu trong hạ tầng doanh nghiệp. Trong bối cảnh email vẫn là kênh giao tiếp cốt lõi của phần lớn tổ chức, chỉ một lỗ hổng XSS tưởng chừng đơn giản cũng có thể mở đường cho các cuộc tấn công quy mô lớn hơn, từ đánh cắp dữ liệu đến ransomware. Với các doanh nghiệp đang vận hành Exchange Server nội bộ, việc triển khai biện pháp giảm thiểu ngay lập tức là yêu cầu cấp thiết nhằm tránh trở thành nạn nhân tiếp theo của các chiến dịch tấn công đang diễn ra.