Lỗ hổng CVE-2026-42897 trên Microsoft Exchange Server đang được khai thác trong thực tế, làm gia tăng rủi ro bảo mật cho các tổ chức sử dụng hạ tầng email on-premises. Theo cảnh báo từ CISA, đây là một lỗ hổng CVE liên quan đến cross-site scripting (XSS) trong Outlook Web Access (OWA).
Lỗ hổng CVE-2026-42897 Trên Microsoft Exchange Server
Lỗ hổng CVE-2026-42897 xảy ra trong quá trình tạo trang web. Trong một số điều kiện tương tác nhất định, kẻ tấn công có thể kích hoạt lỗi và thực thi JavaScript tùy ý trong trình duyệt của nạn nhân. Đây là dạng lỗ hổng CVE thuộc CWE-79, tức việc không vô hiệu hóa đúng đầu vào trong lúc sinh trang.
Thông tin cảnh báo tham chiếu từ CISA và có liên kết tới danh mục KEV tại CISA Known Exploited Vulnerabilities Catalog. Mục này xác nhận lỗ hổng đã bị khai thác ngoài thực tế.
Cơ Chế Khai Thác
Trong kịch bản phổ biến, kẻ tấn công có thể lừa người dùng nhấp vào một liên kết được tạo đặc biệt. Khi nạn nhân mở liên kết trong phiên OWA, mã script độc hại có thể chạy trong ngữ cảnh trình duyệt của họ.
Vì đây là lỗ hổng CVE liên quan đến XSS trong nền tảng email doanh nghiệp, hậu quả có thể vượt ra ngoài trình duyệt nếu phiên xác thực bị chiếm dụng.
Ảnh Hưởng Hệ Thống
Với lỗ hổng CVE này, kẻ tấn công có thể đạt được các tác động sau:
- Chiếm đoạt phiên xác thực đã đăng nhập.
- Đánh cắp thông tin đăng nhập hoặc token phiên.
- Truy cập hộp thư của người dùng.
- Mở rộng xâm nhập sang các tài nguyên nội bộ khác.
Exchange Server là mục tiêu có giá trị cao vì xử lý thư điện tử, tài liệu trao đổi và dữ liệu nhạy cảm. Khi một lỗ hổng CVE như CVE-2026-42897 chưa được vá, nó có thể trở thành điểm vào cho xâm nhập trái phép sâu hơn vào mạng nội bộ.
Trạng Thái Khai Thác Và Yêu Cầu Khắc Phục
CISA đã thêm CVE-2026-42897 vào danh mục KEV vào ngày 15/05/2026. Việc xuất hiện trong KEV cho thấy đã có bằng chứng khai thác chủ động trên thực tế. Đây là dấu hiệu quan trọng của một lỗ hổng CVE cần được ưu tiên xử lý ngay.
Các cơ quan và tổ chức tuân theo Binding Operational Directive (BOD) 22-01 phải khắc phục trước ngày 29/05/2026. Với các hệ thống bị ảnh hưởng, cần triển khai bản vá hoặc áp dụng biện pháp giảm thiểu do nhà cung cấp đưa ra.
Hướng Dẫn Ứng Phó
Nếu bản vá chưa sẵn sàng hoặc chưa thể triển khai, nên áp dụng các bước giảm thiểu theo khuyến nghị của Microsoft, hoặc tạm ngừng sử dụng hệ thống bị ảnh hưởng cho đến khi được bảo vệ đầy đủ. Với một lỗ hổng CVE đang bị khai thác, việc trì hoãn cập nhật bản vá làm tăng đáng kể nguy cơ bảo mật.
Nhà quản trị cũng cần rà soát phạm vi phơi nhiễm của các dịch vụ Exchange được công khai trên Internet để giảm bề mặt tấn công.
IOC Và Dấu Hiệu Cần Theo Dõi
Nội dung gốc không cung cấp IOC dạng địa chỉ IP, hash, domain, hay tên tệp cụ thể. Tuy nhiên, các dấu hiệu giám sát nên tập trung vào hoạt động bất thường trong Outlook Web Access và nhật ký xác thực.
- Chuỗi xác thực bất thường hoặc đăng nhập lặp lại trong thời gian ngắn.
- Hành vi thực thi script không mong đợi trong phiên OWA.
- Hoạt động người dùng bất thường trong hộp thư.
- Yêu cầu truy cập từ liên kết được tạo đặc biệt.
Đối với các đội phát hiện xâm nhập, việc giám sát log Exchange và hành vi trình duyệt của người dùng là cần thiết để nhận diện sớm một lỗ hổng CVE đang bị lợi dụng.
Phân Loại Kỹ Thuật
CVE: CVE-2026-42897
CWE: CWE-79 – Improper Neutralization of Input During Web Page Generation
Loại lỗi: Cross-site scripting (XSS)
Sản phẩm ảnh hưởng: Microsoft Exchange Server, đặc biệt là Outlook Web Access (OWA)
Tác động: Thực thi JavaScript trái phép, chiếm quyền phiên, đánh cắp thông tin xác thực, mở rộng xâm nhập
Khuyến Nghị Giám Sát Và Vá Lỗi
Quản trị viên cần ưu tiên cập nhật bản vá cho Exchange Server ngay khi có bản sửa lỗi từ nhà cung cấp. Đây là bước xử lý trọng tâm cho một lỗ hổng CVE đã được xác nhận khai thác.
Song song, nên kiểm tra nhật ký hệ thống để phát hiện bất thường trong các phiên OWA, đặc biệt là các sự kiện liên quan đến thực thi script, truy cập trái phép hoặc hành vi người dùng không phù hợp với mô hình sử dụng thông thường.
Trong bối cảnh các dịch vụ email doanh nghiệp thường được truy cập từ Internet, việc chậm triển khai bản vá bảo mật có thể biến lỗ hổng CVE thành điểm khởi đầu cho tấn công mạng và hệ thống bị xâm nhập.
