Microsoft cảnh báo về lỗ hổng Zero-day trên Exchange Server đang bị tấn công thực tế

Microsoft đang khuyến cáo người dùng Exchange Server áp dụng ngay các biện pháp giảm thiểu rủi ro đối với một lỗ hổng zero-day mới vừa được phát hiện đang bị khai thác trong các cuộc tấn công thực tế.

Vào tuần này, Microsoft đã phát hành bản vá cho 137 lỗ hổng bảo mật trong đợt cập nhật Patch Tuesday. Ngành công nghiệp an ninh mạng khá bất ngờ khi không thấy bất kỳ lỗ hổng zero-day nào được khắc phục trong đợt này. Tuy nhiên, chỉ 48 giờ sau, vào ngày 14/5, một lỗ hổng zero-day đã được công bố.

Lỗ hổng này trên Exchange, được theo dõi dưới mã định danh CVE-2026-42897, được mô tả là vấn đề giả mạo (spoofing) và Cross-Site Scripting (XSS) ảnh hưởng đến Exchange Server Subscription Edition, phiên bản 2016 và 2019.

Microsoft Security

Trong bản tư vấn bảo mật của mình, Microsoft cho biết: "Việc trung hòa đầu vào không đúng cách trong quá trình tạo trang web ('cross-site scripting') trong Microsoft Exchange Server cho phép kẻ tấn công chưa được ủy quyền thực hiện hành vi giả mạo qua mạng."

Công ty lưu ý rằng lỗ hổng này ảnh hưởng đến Exchange Outlook Web Access (OWA). Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một email được tạo đặc biệt đến người dùng mục tiêu.

"Nếu người dùng mở email trong Outlook Web Access và đáp ứng đủ một số điều kiện tương tác nhất định, mã JavaScript tùy ý có thể được thực thi trong ngữ cảnh của trình duyệt," Microsoft giải thích.

Security Concept

Cho đến khi phát triển được bản vá chính thức, Microsoft đã chia sẻ một số tùy chọn giảm thiểu rủi ro cho người dùng.

Microsoft chưa chia sẻ thông tin cụ thể về các cuộc tấn công đang khai thác CVE-2026-42897. Một nhà nghiên cứu ẩn danh đã được ghi nhận là người đã báo cáo lỗ hổng này.

Việc các tác nhân đe dọa nhắm mục tiêu vào các lỗ hổng của Exchange Server không phải là hiếm gặp — danh sách KEV của CISA hiện liệt kê gần hai chục lỗi như vậy — nhưng dường như chưa có báo cáo nào khác về các lỗ hổng được phát hiện vào năm 2025 và 2026 bị khai thác trong thực tế.

Đáng chú ý, CVE-2026-42897 vẫn chưa được thêm vào danh sách KEV của CISA.