Microsoft cảnh báo về lỗ hổng Zero-day trên Exchange Server đang bị tấn công thực tế
Microsoft vừa đưa ra cảnh báo về một lỗ hổng zero-day nghiêm trọng trên Exchange Server đang bị tin tặc khai thác. Công ty đã cung cấp các biện pháp giảm thiểu tạm thời trong khi chờ đợi bản vá chính thức được phát hành.

Microsoft đang khuyến cáo người dùng Exchange Server áp dụng ngay các biện pháp giảm thiểu rủi ro đối với một lỗ hổng zero-day mới vừa được phát hiện đang bị khai thác trong các cuộc tấn công thực tế.
Vào tuần này, Microsoft đã phát hành bản vá cho 137 lỗ hổng bảo mật trong đợt cập nhật Patch Tuesday. Ngành công nghiệp an ninh mạng khá bất ngờ khi không thấy bất kỳ lỗ hổng zero-day nào được khắc phục trong đợt này. Tuy nhiên, chỉ 48 giờ sau, vào ngày 14/5, một lỗ hổng zero-day đã được công bố.
Lỗ hổng này trên Exchange, được theo dõi dưới mã định danh CVE-2026-42897, được mô tả là vấn đề giả mạo (spoofing) và Cross-Site Scripting (XSS) ảnh hưởng đến Exchange Server Subscription Edition, phiên bản 2016 và 2019.
Microsoft Security
Trong bản tư vấn bảo mật của mình, Microsoft cho biết: "Việc trung hòa đầu vào không đúng cách trong quá trình tạo trang web ('cross-site scripting') trong Microsoft Exchange Server cho phép kẻ tấn công chưa được ủy quyền thực hiện hành vi giả mạo qua mạng."
Công ty lưu ý rằng lỗ hổng này ảnh hưởng đến Exchange Outlook Web Access (OWA). Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một email được tạo đặc biệt đến người dùng mục tiêu.
"Nếu người dùng mở email trong Outlook Web Access và đáp ứng đủ một số điều kiện tương tác nhất định, mã JavaScript tùy ý có thể được thực thi trong ngữ cảnh của trình duyệt," Microsoft giải thích.
Security Concept
Cho đến khi phát triển được bản vá chính thức, Microsoft đã chia sẻ một số tùy chọn giảm thiểu rủi ro cho người dùng.
Microsoft chưa chia sẻ thông tin cụ thể về các cuộc tấn công đang khai thác CVE-2026-42897. Một nhà nghiên cứu ẩn danh đã được ghi nhận là người đã báo cáo lỗ hổng này.
Việc các tác nhân đe dọa nhắm mục tiêu vào các lỗ hổng của Exchange Server không phải là hiếm gặp — danh sách KEV của CISA hiện liệt kê gần hai chục lỗi như vậy — nhưng dường như chưa có báo cáo nào khác về các lỗ hổng được phát hiện vào năm 2025 và 2026 bị khai thác trong thực tế.
Đáng chú ý, CVE-2026-42897 vẫn chưa được thêm vào danh sách KEV của CISA.
Bài viết liên quan

Phần mềm
Tối ưu hóa hệ thống gợi ý bằng LLM và Python: Cách cân bằng giữa tốc độ và độ chính xác
08 tháng 6, 2026

Phần mềm
Giám đốc Rimini Street: "Headless ERP" và mã nguồn mở là chìa khóa thoát khỏi sự kiểm soát của nhà cung cấp
16 tháng 6, 2026

Công nghệ
Amazon ra mắt tính năng Sleep Studio giúp trẻ em đi ngủ dễ dàng hơn trên loa Echo
10 tháng 6, 2026
