Microsoft đã xác nhận việc khai thác tích cực một lỗ hổng zero-day mới liên quan đến việc mạo danh trong các máy chủ Exchange nội bộ. Lỗ hổng này, được theo dõi dưới mã CVE‑2026‑42897, cho phép kẻ tấn công thực thi mã JavaScript tùy ý trong Outlook Web Access (OWA) chỉ bằng cách gửi một email được chế tạo đặc biệt mà nạn nhân mở trong trình duyệt.
Chi tiết Lỗ hổng CVE‑2026‑42897
Vào ngày 14 tháng 5 năm 2026, Microsoft đã công bố CVE‑2026‑42897 như một lỗ hổng mạo danh trong Exchange Outlook Web Access. Lỗi này bắt nguồn từ việc xử lý không đúng cách dữ liệu đầu vào của người dùng trong quá trình tạo trang web, về cơ bản đây là một lỗi Cross-Site Scripting (XSS) (CWE‑79).
Một kẻ tấn công không cần xác thực có thể gửi một email được chế tạo cẩn thận. Khi người dùng mở email này trong OWA và các điều kiện tương tác cụ thể được đáp ứng, mã JavaScript do kẻ tấn công cung cấp sẽ được thực thi trong ngữ cảnh trình duyệt của người dùng đã đăng nhập.
Phạm vi ảnh hưởng
Lỗ hổng này ảnh hưởng đến tất cả các cấp độ cập nhật của Exchange Server 2016, Exchange Server 2019 và Exchange Server Subscription Edition (SE). Tuy nhiên, Exchange Online (Microsoft 365) không bị ảnh hưởng bởi lỗ hổng này.
Đánh giá mức độ nghiêm trọng
Đánh giá khả năng khai thác của Microsoft xếp loại CVE‑2026‑42897 là “Exploitation Detected”, xác nhận rằng các cuộc tấn công trong thực tế đang tận dụng vấn đề này. Lỗ hổng này được đánh giá là Critical với điểm số cơ bản CVSS v3.1 là 8.1. Điểm số này phản ánh một cuộc tấn công có thể thực hiện qua mạng, không yêu cầu đặc quyền từ phía kẻ tấn công và chỉ cần sự tương tác cơ bản từ người dùng (mở email trong OWA).
Hậu quả của việc khai thác
Việc khai thác thành công cho phép kẻ tấn công thực thi JavaScript trong phiên trình duyệt của nạn nhân. Điều này mở ra khả năng mạo danh email, đánh cắp thông tin đăng nhập, chiếm quyền điều khiển phiên, và thực hiện các hành động thay mặt người dùng bị xâm nhập.
Do cuộc tấn công được phân phối qua email và kích hoạt khi nội dung được hiển thị trong OWA, nó có thể vượt qua các biện pháp kiểm soát bảo mật truyền thống tập trung vào tệp đính kèm hoặc liên kết, và dễ dàng hòa lẫn vào hoạt động hộp thư thông thường.
Microsoft lưu ý rằng việc khai thác chỉ được quan sát thấy thông qua các đường dẫn hiển thị OWA. Các đường dẫn truy cập không phải OWA hiện chưa được biết là bị ảnh hưởng.
Biện pháp giảm thiểu và khắc phục
Biện pháp giảm thiểu ban đầu
Biện pháp phòng vệ ngắn hạn chính của Microsoft là Exchange Emergency Mitigation (EM) Service. Dịch vụ này được bật theo mặc định trên các máy chủ Exchange nội bộ được hỗ trợ và tự động triển khai biện pháp giảm thiểu M2.1.x cho CVE‑2026‑42897.
Các tổ chức có thể xác minh trạng thái giảm thiểu bằng cách sử dụng hướng dẫn “Viewing Applied Mitigations” của EM hoặc tập lệnh Exchange Health Checker. Tập lệnh này sẽ hiển thị một phần kiểm tra EEMS trong báo cáo HTML của nó.
Đối với môi trường ngoại tuyến
Đối với các môi trường bị ngắt kết nối hoặc air-gapped, Microsoft cung cấp Exchange On‑Premises Mitigation Tool (EOMT). Công cụ này áp dụng các biện pháp giảm thiểu cụ thể cho CVE trên mỗi máy chủ thông qua một tập lệnh PowerShell có tên PowerShell.ps1 với tham số CVE.
Các biện pháp giảm thiểu này dựa vào Content Security Policy (CSP) của trình duyệt. Do đó, chúng không bảo vệ người dùng truy cập OWA thông qua Internet Explorer hoặc Edge ở Chế độ Internet Explorer, vì các trình duyệt này thiếu hỗ trợ CSP.
Cập nhật bảo mật và bản vá lỗi
Vào ngày 9 tháng 6 năm 2026, Microsoft đã phát hành các Bản cập nhật Bảo mật (SUs) cho Exchange SE RTM, Exchange Server 2019 CU14/CU15 và Exchange Server 2016 CU23. Các bản cập nhật này bao gồm một bản sửa lỗi vĩnh viễn cho CVE‑2026‑42897.
Các bản cập nhật cho Exchange 2016/2019 chỉ có sẵn cho khách hàng trong chương trình Period 2 Extended Security Update (ESU).
Microsoft khuyến nghị cài đặt các bản SUs tháng 6 năm 2026 càng sớm càng tốt. Đồng thời, nên giữ nguyên biện pháp giảm thiểu cho CVE‑2026‑42897 như một lớp phòng thủ bổ sung ngay cả sau khi đã cài đặt bản vá.
Lưu ý về việc áp dụng biện pháp giảm thiểu
Microsoft cảnh báo rằng việc áp dụng các biện pháp giảm thiểu (thông qua EM Service hoặc EOMT) có thể gây lỗi hoặc làm suy giảm một số tính năng OWA. Bao gồm các chức năng như in lịch, hiển thị ảnh nội tuyến trong ngăn đọc, OWA Light, lịch đã xuất bản và OWACalendar health set.
Những sự cố này dự kiến sẽ được giải quyết sau khi các tổ chức cài đặt bản cập nhật tháng 6 năm 2026 và sau đó tự gỡ bỏ biện pháp giảm thiểu nếu họ chọn làm như vậy.
Blog tháng 6 năm 2026 cũng nêu bật rằng các dịch vụ EM và tính năng bay sẽ ngừng tiêu thụ các tệp cấu hình mới từ tháng 7 năm 2026, trừ khi máy chủ Exchange được cập nhật lên ít nhất là bản dựng tháng 6 năm 2026. Điều này nhấn mạnh sự cần thiết phải chuyển sang các bản dựng hiện tại.
Đối với các tổ chức vẫn còn sử dụng Exchange 2016/2019 mà không có Period 2 ESU, Microsoft khuyên nên di chuyển sang Exchange SE để duy trì quyền truy cập vào các bản sửa lỗi bảo mật trong tương lai.
Để có thêm thông tin chi tiết về lỗ hổng và cách thức khắc phục, vui lòng tham khảo thông báo chính thức từ Microsoft tại Microsoft Security Response Center.
