PoC CVE-2026-45504 trên Exchange Server mở đường đọc file nội bộ từ SSRF

[WhiteHat Team]

Một mã khai thác vừa được công bố cho CVE-2026-45504, một lỗ hổng leo thang đặc quyền mức độ cao trong Exchange Server của Microsoft. Lỗ hổng cho phép kẻ tấn công đã xác thực ở mức thấp thực hiện đọc tệp tùy ý trên máy chủ, mở ra khả năng thu thập dữ liệu nhạy cảm và leo thang quyền kiểm soát hệ thống.
​

CVE-2026-45504 bắt nguồn từ cách Exchange tích hợp với SharePoint và WOPI trong quá trình tạo URL xem trước tài liệu thông qua WAC. Trong luồng xử lý này, các thành phần như GetTokenRequestWebResponse và GetWacUrl sử dụng OneDriveProUtilities.TryTwice để gửi yêu cầu HTTP và xử lý phản hồi dạng OData XML. Lỗ hổng xuất hiện khi hệ thống không kiểm tra tính hợp lệ của trường WebApplicationUrl do WOPI provider trả về, đặc biệt là không giới hạn loại giao thức được phép sử dụng trong URL.

CVE-2026-45504 trở nên nguy hiểm hơn khi kẻ tấn công có thể chèn giá trị file:// vào WebApplicationUrl. Do hệ thống không kiểm tra chặt chẽ, giá trị này bị sử dụng trực tiếp khi xây dựng URL WAC. Kẻ tấn công còn lợi dụng ký tự ‘#’ trong URI để che phần phía sau, khiến hệ thống chỉ xử lý đường dẫn file cục bộ và vô tình thực thi yêu cầu đọc file trên máy chủ.

Khi payload được dựng theo dạng file:///C:/Windows/win.ini#, Exchange vẫn tiếp tục tự động gắn thêm các tham số OAuth như access_token và TTL vào phía sau. Tuy nhiên, do phần sau dấu ‘#’ được coi là fragment và bị bỏ qua trong quá trình xử lý URI, nên các tham số này không còn ảnh hưởng đến đường dẫn thực tế. Điều này khiến hệ thống hiểu nhầm và thực hiện yêu cầu FileWebRequest, từ đó truy xuất trực tiếp tệp nội bộ trên máy chủ.

Trong thực tế, kỹ thuật này có thể bị lợi dụng để đọc các tệp cấu hình hệ thống, thông tin xác thực hoặc dữ liệu nội bộ quan trọng, từ đó mở rộng phạm vi tấn công và leo thang đặc quyền trong hạ tầng. Chuỗi khai thác thường bắt đầu khi kẻ tấn công sở hữu một tài khoản Exchange hợp lệ mức thấp, đủ quyền truy cập mailbox. Thông qua Exchange Web Services, đối tượng tạo ReferenceAttachment với ProviderEndpointUrl trỏ đến máy chủ do mình kiểm soát. Khi nạn nhân mở hoặc xem trước tệp đính kèm trong Outlook on the web hoặc các ứng dụng email liên quan, Exchange tự động kích hoạt quy trình WOPI và gửi yêu cầu truy vấn thuộc tính mục tiêu đến hạ tầng độc hại. Tại đây, phản hồi WOPI được thiết kế có chủ đích sẽ chèn WebApplicationUrl trỏ tới đường dẫn file://, khiến Exchange hiểu nhầm đây là một nguồn hợp lệ. Hệ thống sau đó tiếp tục xử lý và vô tình kích hoạt cơ chế đọc file nội bộ trên máy chủ mà không cần thêm tương tác từ người dùng.
​

PoC CVE-2026-45504 công khai đã chứng minh khả năng đọc thành công các tệp hệ thống như C:\Windows\win.ini trên Exchange Server 2019, cho thấy lỗ hổng có thể bị khai thác trên các hệ thống chưa cập nhật bản vá bảo mật. Microsoft đánh giá lỗ hổng với CVSS 3.1 đạt 8.8, phản ánh mức độ nghiêm trọng cao trên cả ba khía cạnh bảo mật, toàn vẹn và sẵn sàng, đồng thời đã phát hành bản vá trong các bản cập nhật ngày 9/6/2026 cho Exchange Server 2016 CU23, Exchange Server 2019 CU14 và CU15, cũng như Subscription Edition RTM thông qua các gói KB tương ứng.

Ban đầu, Microsoft đánh giá khả năng khai thác CVE-2026-45504 ở mức thấp. Tuy nhiên, việc PoC được công bố công khai đã làm thay đổi đáng kể cục diện rủi ro, khi các kỹ thuật tấn công có thể nhanh chóng bị tái sử dụng và tích hợp vào các chiến dịch thực tế. Điều này khiến nguy cơ bị khai thác trong môi trường doanh nghiệp tăng lên rõ rệt, đặc biệt với các hệ thống chưa được cập nhật kịp thời.

Trước diễn biến này, các quản trị viên hệ thống được khuyến nghị triển khai bản vá càng sớm càng tốt, đồng thời siết chặt quyền truy cập vào Exchange và EWS. Bên cạnh đó, cần hạn chế các kết nối outbound từ máy chủ tới những nguồn không đáng tin cậy và tăng cường giám sát các hoạt động WOPI/WAC bất thường cũng như dấu hiệu truy xuất tệp nội bộ không điển hình trên hệ thống, nhằm phát hiện sớm các nỗ lực khai thác.​