Vì sao Microsoft Exchange bị tấn công bởi hai sự cố bảo mật nghiêm trọng trong cùng một tuần?

Tuy nhiên, tại thời điểm công bố, không có bằng chứng chuỗi khai thác này đang được sử dụng trong các cuộc tấn công ngoài thực tế.

Zero‑day CVE‑2026‑42897 đang bị khai thác

Gần như cùng thời điểm, Microsoft cảnh báo về một lỗ hổng Exchange khác đã bị khai thác trong các cuộc tấn công thực tế.

Lỗ hổng này được gán mã CVE‑2026‑42897, thuộc loại Improper Input Neutralization (Cross‑Site Scripting – XSS) trong Microsoft Exchange Server.

Vấn đề có thể cho phép kẻ tấn công:

• giả mạo nội dung hoặc phiên làm việc
• thực thi JavaScript độc hại
• tấn công người dùng thông qua giao diện web như Outlook Web Access (OWA)

Trong một số kịch bản, kẻ tấn công có thể gửi email hoặc nội dung được tạo đặc biệt, và khi người dùng mở nó trong OWA, JavaScript độc hại sẽ chạy trong trình duyệt của họ.

Các phiên bản Exchange bị ảnh hưởng

Lỗ hổng này ảnh hưởng đến Exchange chạy on‑premises, bao gồm:

• Exchange Server 2016
• Exchange Server 2019
• Exchange Server Subscription Edition (SE)

Theo Microsoft, Exchange Online (dịch vụ email trên Microsoft 365) không bị ảnh hưởng.

CVE‑2026‑42897 có điểm CVSS khoảng 8.1 (mức nghiêm trọng cao) và nhanh chóng được thêm vào CISA Known Exploited Vulnerabilities (KEV) – danh sách các lỗ hổng đã được xác nhận bị khai thác trong thực tế.

Khuyến nghị giảm thiểu từ Microsoft

Do lỗ hổng bị khai thác trước khi có bản vá chính thức, Microsoft đã phát hành biện pháp giảm thiểu tạm thời.

Biện pháp chính dựa vào Exchange Emergency Mitigation Service (EEMS) – một dịch vụ có thể tự động triển khai các quy tắc bảo vệ cho máy chủ Exchange.

Đối với CVE‑2026‑42897, EEMS triển khai một quy tắc URL Rewrite để chặn các yêu cầu độc hại nhắm vào thành phần dễ bị tấn công.

Microsoft khuyến nghị quản trị viên:

• đảm bảo Exchange Emergency Mitigation Service đang bật
• áp dụng bản vá bảo mật ngay khi Microsoft phát hành
• giám sát log Exchange và IIS để phát hiện hoạt động bất thường

Phản ứng của CISA và danh mục KEV

CISA (Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ) đã nhanh chóng thêm CVE‑2026‑42897 vào Known Exploited Vulnerabilities catalog.

Đối với các cơ quan liên bang dân sự của Mỹ, điều này đồng nghĩa họ bắt buộc phải khắc phục lỗ hổng theo chỉ thị BOD 22‑01.

Trong thực tế, khi một lỗ hổng được đưa vào KEV, các tổ chức nên coi đó là rủi ro vận hành khẩn cấp, không phải chỉ là điểm yếu lý thuyết.

Các bước phản ứng thường bao gồm:

• áp dụng bản vá hoặc biện pháp giảm thiểu ngay lập tức
• kiểm tra xem dịch vụ Exchange có đang expose ra Internet hay không
• cô lập hoặc tạm ngừng hệ thống dễ bị tấn công nếu chưa thể khắc phục

Vì sao điều này đặc biệt quan trọng với Exchange on‑premises

Hai sự cố trong cùng một tuần cho thấy rõ lý do Exchange on‑premises tiếp tục là mục tiêu hấp dẫn của tin tặc.

Một số yếu tố chính:

1. Máy chủ thường mở ra Internet
Các triển khai Exchange thường cung cấp dịch vụ như Outlook Web Access cho người dùng từ xa, làm tăng bề mặt tấn công.

2. Giá trị truy cập cực cao
Nếu chiếm được Exchange, kẻ tấn công có thể truy cập:

• email nội bộ
• token xác thực
• thông tin có thể dẫn tới toàn bộ môi trường Active Directory

3. Nhiều con đường tấn công khác nhau
Tuần đó cho thấy hai kiểu mối đe dọa:

• chuỗi khai thác phức tạp do các nhà nghiên cứu phát hiện
• lỗ hổng web đơn giản hơn nhưng đã bị khai thác ngoài thực tế

4. Khoảng trống giữa phát hiện và vá lỗi
Zero‑day CVE‑2026‑42897 chứng minh rằng kẻ tấn công có thể khai thác lỗ hổng trước khi bản vá chính thức được phát hành, buộc các tổ chức phải dựa vào biện pháp tạm thời và giám sát.

Kết luận

Hai sự kiện liên tiếp – chuỗi khai thác tại Pwn2Own Berlin 2026 và zero‑day CVE‑2026‑42897 – cho thấy một thực tế quen thuộc trong an ninh mạng doanh nghiệp: Exchange on‑premises vẫn là điểm tấn công cực kỳ hấp dẫn.

Trong khi Pwn2Own cho thấy khả năng khai thác của các nhà nghiên cứu trong môi trường kiểm soát, lỗ hổng đang bị khai thác ngoài thực tế lại cho thấy tốc độ mà các nhóm tấn công có thể tận dụng điểm yếu khi nó xuất hiện.

Đối với các tổ chức vẫn vận hành Exchange tại chỗ, thông điệp khá rõ ràng: giảm tối đa dịch vụ mở ra Internet, bật các cơ chế giảm thiểu tự động, và triển khai bản vá bảo mật ngay khi có thể.