Microsoft đã phát hành các bản vá khẩn cấp cho ba lỗ hổng thực thi mã từ xa (RCE) liên quan chặt chẽ trong Microsoft Outlook và Word, bắt nguồn từ các lỗi thiếu an toàn bộ nhớ ở cấp độ thấp trong trình kết xuất của Word và tích hợp với Outlook Classic. Đây là những lỗ hổng CVE nghiêm trọng cần được chú ý.
Lỗ hổng Thực thi Mã Từ xa trong Microsoft Outlook và Word
Các lỗi này, được theo dõi dưới định danh CVE‑2026‑45456, CVE‑2026‑45458, và CVE‑2026‑47635, đều được đánh giá là Critical với điểm CVSS v3.1 cơ bản là 8.4. Điểm số này phản ánh tác động cao đến tính bảo mật (confidentiality), toàn vẹn (integrity), và sẵn sàng (availability) nếu bị khai thác thành công.
Chi tiết về Lỗ hổng và Khả năng Khai thác
Mặc dù các vector CVSS cho thấy phương thức tấn công cục bộ (AV:L), Microsoft phân loại chúng là RCE bởi vì kẻ tấn công từ xa có thể phân phối nội dung độc hại qua mạng, ví dụ như qua email. Tuy nhiên, việc khai thác thực tế diễn ra cục bộ khi các tiến trình Office xử lý nội dung.
Cả ba lỗ hổng đều bắt nguồn từ việc xử lý bộ nhớ không an toàn trong quy trình phân tích cú pháp tài liệu Office.
CVE‑2026‑45456 và CVE‑2026‑47635: Type Confusion
Các lỗ hổng này liên quan đến **type confusion**, nơi các cấu trúc dữ liệu nội bộ bị truy cập với một kiểu dữ liệu không tương thích hoặc sai lệch, phá vỡ các đảm bảo an toàn kiểu tại thời điểm chạy. Về mặt thực tế, một tài liệu được chế tạo tinh vi có thể thao túng các giả định về bố cục đối tượng, khiến trình kết xuất Word diễn giải dữ liệu do kẻ tấn công kiểm soát như một đối tượng hoặc con trỏ hợp lệ.
Khi trình kết xuất thực hiện các thao tác trên đối tượng bị hiểu sai kiểu này, nó có thể gây ra tình trạng hỏng bộ nhớ có kiểm soát. Kẻ tấn công có thể lợi dụng điều này để thực thi mã tùy ý bằng cách chiếm quyền điều khiển luồng thực thi, chẳng hạn như các con trỏ hàm hoặc mục vtable.
CVE‑2026‑45458: Use-After-Free
Lỗ hổng này liên quan đến mẫu **use-after-free**. Trong kịch bản này, Word giải phóng một đối tượng bộ nhớ nhưng vẫn giữ một con trỏ lơ lửng tới nó. Một tài liệu được chế tạo bởi kẻ tấn công có thể khiến vùng nhớ đã giải phóng được cấp phát lại cho dữ liệu do kẻ tấn công kiểm soát.
Do đó, khi con trỏ cũ được tham chiếu sau đó, luồng thực thi sẽ đi qua dữ liệu mà kẻ tấn công kiểm soát, một lần nữa cho phép thực thi mã.
Tác động đến Hệ thống và Phương thức Tấn công
Một chi tiết vận hành quan trọng đối với các nhà phòng thủ là Outlook Classic sử dụng Word làm trình kết xuất cho nội dung email, bao gồm cả trong Ngăn xem trước (Preview Pane). Điều này có nghĩa là một email được chế tạo tinh vi hoặc tệp đính kèm có thể kích hoạt một trong các đường dẫn gây lỗi bộ nhớ này và thực thi mã chỉ khi tin nhắn được hiển thị, mà không yêu cầu người dùng mở tệp đính kèm một cách rõ ràng.
Từ góc độ chuỗi tấn công (kill-chain), điều này cho phép kẻ tấn công từ xa gửi một email độc hại duy nhất đến mục tiêu, dựa vào việc hiển thị tự động hoặc xem trước bởi người dùng trong Outlook, và đạt được việc thực thi mã tùy ý với quyền của người dùng nạn nhân. Bởi vì các lỗ hổng không yêu cầu thêm đặc quyền hoặc tương tác rõ ràng từ người dùng ngoài quá trình hiển thị thông thường, một cuộc tấn công thành công có thể được kết hợp với các kỹ thuật leo thang đặc quyền hoặc di chuyển ngang để xâm nhập sâu hơn vào môi trường.
Phạm vi Ảnh hưởng
Phạm vi ảnh hưởng bao gồm Microsoft Office LTSC 2024 (phiên bản 32-bit và 64-bit) và các bản dựng Word/Outlook được hỗ trợ khác sử dụng các thành phần kết xuất tương tự. Microsoft nhấn mạnh rằng khách hàng phải áp dụng tất cả các bản cập nhật bảo mật Office hiện hành cho các cài đặt của họ trong môi trường có nhiều SKU Office. Quản trị viên phải đảm bảo mỗi dòng sản phẩm nhận được gói bảo mật tương ứng.
Một số kênh Office cho Mac (Office LTSC for Mac 2021/2024 và Microsoft 365 for Mac) có thể nhận được các bản vá chậm hơn một chút. Tuy nhiên, chúng là một phần của nỗ lực khắc phục chung.
Biện pháp Phòng ngừa và Phát hiện
Từ góc độ phòng thủ, việc cập nhật bản vá vẫn là biện pháp giảm thiểu chính và bắt buộc, vì đây là các vấn đề ở cấp độ lõi của trình kết xuất mà không thể loại bỏ hoàn toàn bằng các thay đổi cấu hình.
Các Biện pháp Giảm thiểu và Cấu hình
Tuy nhiên, các tổ chức có thể giảm khả năng khai thác và phạm vi ảnh hưởng thông qua các biện pháp kiểm soát nhiều lớp. Củng cố Outlook bằng cách vô hiệu hóa hoặc giới hạn Ngăn xem trước cho các hộp thư không đáng tin cậy, áp dụng Chế độ xem được bảo vệ (Protected View) cho các tệp có nguồn gốc từ internet.
Sử dụng các quy tắc Giảm bề mặt tấn công (Attack Surface Reduction – ASR) để hạn chế Office khỏi việc tạo các tiến trình con có thể làm tăng đáng kể ngưỡng cho việc khai thác thành công và các hành động sau khi xâm nhập. Các quy tắc ASR này là một phần quan trọng trong việc tăng cường an ninh mạng cho hệ thống.
Các Dấu hiệu Phát hiện Xâm nhập
Về phía phát hiện, các nhóm bảo mật nên theo dõi các tiến trình Word hoặc Outlook bất thường có dấu hiệu vi phạm truy cập bộ nhớ, gặp sự cố khi hiển thị các tin nhắn cụ thể, hoặc các tiến trình con đáng ngờ được tạo ra từ Office. Đây có thể là dấu hiệu của các nỗ lực khai thác hoặc thực thi mã thành công.
Việc giám sát này rất quan trọng để phát hiện sớm các mối đe dọa tiềm ẩn.
Nguồn tham khảo chi tiết về các lỗ hổng và bản vá có thể được tìm thấy trên trang web của Microsoft MSRC: CVE-2026-45456 Details.
