Lỗ hổng Exchange Server đang bị khai thác biến OWA thành bệ phóng script độc hại

Microsoft vừa xác nhận một lỗ hổng bảo mật nghiêm trọng trong phiên bản Exchange Server triển khai tại chỗ (on-premises), có thể dẫn đến việc thực thi mã script bất ngờ trên trình duyệt của nạn nhân.

Được theo dõi dưới mã định danh CVE-2026-42897, lỗi này ảnh hưởng đến Outlook Web Access (OWA). Lỗ hổng có thể được kích hoạt khi người dùng mở một email được thiết kế đặc biệt trên OWA, với điều kiện "thỏa mãn một số tương tác nhất định". Mục tiêu của kẻ tấn công là thực thi mã JavaScript tùy ý trong ngữ cảnh trình duyệt của người dùng.

Bản tư vấn về bảo mật mô tả lỗi này là lỗ hổng giả mạo (spoofing) xuất phát từ cross-site scripting (XSS), điều này chắc chắn sẽ khiến các quản trị viên hệ thống phải giật mình. Đáng lo ngại hơn, có dấu hiệu cho thấy lỗ hổng này đang bị khai thác thực tế. Lỗi này được đánh giá điểm số CVSS là 8.1 (mức độ nghiêm trọng cao).

Các phiên bản bị ảnh hưởng bao gồm Exchange Server 2016, 2019 và phiên bản mới nhất là Exchange Server Subscription Edition (SE), bất kể mức độ cập nhật của chúng. Microsoft đã phát hành một biện pháp giảm thiểu thông qua dịch vụ Exchange Emergency Mitigation (EM).

Tuy nhiên, Microsoft cảnh báo rằng biện pháp giảm thiểu này có thể gây ra một số tác dụng phụ không mong muốn. Cụ thể, hình ảnh nhúng (inline images) có thể ngừng hoạt động trong khung đọc OWA của người nhận (giải pháp thay thế là sử dụng tệp đính kèm). Ngoài ra, tính năng in lịch (Print Calendar) trên OWA có thể không hoạt động (người dùng nên dùng ảnh chụp màn hình hoặc ứng dụng Outlook Desktop). Cuối cùng, phiên bản OWA Light cũng có thể hoạt động không ổn định. Microsoft đã ngừng hỗ trợ OWA Light từ năm 2024, do đó người dùng bị ảnh hưởng nên cân nhắc nâng cấp.

Trong các trường hợp khách hàng không sử dụng dịch vụ EM, biện pháp giảm thiểu cũng có thể được áp dụng thủ công. Điều này thường áp dụng cho các môi trường bị ngắt kết nối hoặc cách ly mạng (air-gapped) — chính là những môi trường mà Exchange Server tại chỗ thường tồn tại lâu dài.

Microsoft đang làm việc trên một bản cập nhật bảo mật đầy đủ, mặc dù chỉ có phiên bản Exchange SE mới được công khai rộng rãi. Khách hàng sử dụng Exchange 2016 và 2019 chỉ nhận được bản vá nếu họ đã đăng ký Giai đoạn 2 (Period 2) của chương trình Cập nhật Bảo mật Mở rộng (Extended Security Updates - ESU) cho Exchange Server. Giai đoạn thứ hai của ESU đã bắt đầu vào tháng này, và Microsoft đã cảnh báo nghiêm khắc rằng sẽ không có sự gia hạn nào sau khi kết thúc giai đoạn này.

Lỗ hổng này không ảnh hưởng đến Exchange Online.

Hiện tại, Microsoft chưa cung cấp chi tiết cụ thể về cách thức hoạt động của cuộc tấn công hay mức độ lan rộng của việc khai thác.