Microsoft vá lỗ hổng nghiêm trọng Outlook cho phép tấn công zero-click, đe dọa doanh nghiệp

Trong đợt cập nhật bảo mật Patch Tuesday vừa qua, Microsoft đã vá tổng cộng 137 lỗ hổng. Đáng chú ý nhất trong số này là một lỗi bảo mật nghiêm trọng trong Outlook, có khả năng gây ra mối đe dọa lớn đối với các doanh nghiệp.

Lỗ hổng này được định danh là CVE-2026-40361 và được Microsoft mô tả là lỗ hổng thực thi mã từ xa (remote code execution) ảnh hưởng đến Word. Haifei Li, nhà phát triển của hệ thống phát hiện zero-day Expmon, là người đã báo cáo lỗi này cho gã khổng lồ công nghệ.

Lỗ hổng bảo mật Outlook

Trên mạng xã hội X, ông Li giải thích rằng lỗ hổng này ảnh hưởng đến một thư viện liên kết động (DLL) được cả Word và Outlook sử dụng rộng rãi. Theo nhà nghiên cứu, CVE-2026-40361 là một lỗi use-after-free kiểu zero-click, có thể bị khai thác để thực thi mã từ xa đối với người dùng Outlook.

"Bạn chắc chắn muốn vá lỗi này sớm hơn là muộn," ông Li cảnh báo. "Mối nguy hiểm của các lỗi zero-click trong Outlook nằm ở chỗ chúng được kích hoạt ngay khi nạn nhân đọc hoặc xem trước email — không cần phải nhấp vào liên kết hay tệp đính kèm nào cả."

Do lỗi nằm trong công cụ hiển thị email của Outlook, việc giảm thiểu hoặc chặn nó khá khó khăn. Tuy nhiên, nhà nghiên cứu lưu ý rằng việc đặt Outlook chỉ hiển thị email ở định dạng văn bản thuần (plain text) là một biện pháp giảm thiểu hiệu quả.

Bảo mật Microsoft

Ông Li đã so sánh CVE-2026-40361 với một lỗ hổng Outlook mà ông phát hiện hơn một thập kỷ trước. Lỗ hổng cũ, được định danh là CVE-2015-6172 và đặt tên là BadWinmail, từng được mệnh danh là "sát thủ doanh nghiệp" (enterprise killer). Lỗi mới này có cùng vector tấn công và tác động tiềm năng tương tự.

Về cơ bản, bất kỳ ai cũng có thể xâm nhập vào tài khoản của CEO hay CFO chỉ bằng cách gửi một email. Mối đe dọa này hoàn toàn vượt qua tường lửa của doanh nghiệp và được gửi thẳng đến hộp thư đến.

Microsoft đã đánh giá lỗ hổng này ở mức "khả năng bị khai thác cao" (exploitation more likely). Mặc dù ông Li thừa nhận ông chỉ phát triển một khái niệm chứng minh (PoC) cho CVE-2026-40361 thay vì một đoạn khai thác hoàn chỉnh, ông cũng nhấn mạnh rằng không nên đánh thấp sự sáng tạo của các tác nhân đe dọa mạng.