Microsoft vừa công bố một lỗ hổng bảo mật nghiêm trọng trong ứng dụng Microsoft Teams dành cho Android, cho phép kẻ tấn công đã xác thực có thể tiết lộ thông tin nhạy cảm qua mạng. Lỗ hổng này, được định danh là CVE-2026-42835, chính thức được công bố vào ngày 9 tháng 6 năm 2026, với mức độ nghiêm trọng được đánh giá là Important.
Chi tiết về Lỗ hổng Microsoft Teams trên Android
Lỗ hổng phát sinh từ việc xử lý không đúng các phần tử đặc biệt trong đầu ra của một thành phần phụ trợ, được phân loại theo CWE-74 (Injection). Điều này cho phép một kẻ tấn công có quyền truy cập có thể tiết lộ thông tin từ xa mà không cần sự tương tác nào từ người dùng.
Đánh giá mức độ nghiêm trọng (CVSS)
Lỗ hổng này mang điểm CVSS 3.1 base score là 8.1 (temporal score: 7.1), phản ánh mức độ rủi ro đáng kể. Vector tấn công là Network (AV:N), xác nhận rằng lỗ hổng có thể bị khai thác từ xa qua Internet.
Với độ phức tạp tấn công Low (AC:L), kẻ tấn công không yêu cầu kiến thức chuyên sâu về hệ thống mục tiêu và có thể đạt được thành công lặp lại bằng một payload được chế tạo đặc biệt nhằm vào thành phần dễ bị tổn thương.
Các chỉ số CVSS cho thấy tác động cao đối với Confidentiality (Bảo mật) và Availability (Tính sẵn sàng), mà không có tác động đến Integrity (Tính toàn vẹn). Chỉ số Privileges Required được đánh giá là Low, có nghĩa là bất kỳ người dùng nào đã được xác thực, bao gồm cả các tài khoản có quyền hạn thấp, đều có khả năng kích hoạt lỗ hổng.
Ảnh hưởng và Khả năng Khai thác
Microsoft xác nhận rằng việc khai thác thành công có thể cho phép kẻ tấn công đọc các phần nhỏ của bộ nhớ heap. Mặc dù phạm vi dữ liệu bị lộ có vẻ hạn chế, bộ nhớ heap có thể chứa thông tin thời gian chạy nhạy cảm, bao gồm các token xác thực, dữ liệu phiên hoặc thông tin đăng nhập được lưu trữ trong bộ nhớ cache. Do đó, việc tiết lộ dù chỉ là một phần nhỏ cũng là một mối quan ngại nghiêm trọng trong môi trường doanh nghiệp.
Đánh giá khả năng khai thác của Microsoft phân loại lỗ hổng này là Exploitation Less Likely. Lỗ hổng chưa được công bố rộng rãi và chưa được ghi nhận là đang bị khai thác tích cực tại thời điểm công bố. Độ trưởng thành của mã khai thác (exploit code maturity) được liệt kê là Unproven, và một bản sửa lỗi chính thức đã có sẵn.
Biện pháp Khắc phục và Cập nhật
Microsoft đã phát hành một bản cập nhật bảo mật cho Microsoft Teams trên Android, có sẵn thông qua Google Play Store. Người dùng và quản trị viên doanh nghiệp được khuyến cáo mạnh mẽ nên cập nhật ứng dụng ngay lập tức thông qua danh sách Microsoft Teams chính thức trên Google Play.
Các tổ chức sử dụng Teams cho giao tiếp nội bộ nên ưu tiên áp dụng bản cập nhật này, đặc biệt là khi ứng dụng được sử dụng rộng rãi để xử lý các cuộc trò chuyện kinh doanh nhạy cảm và chia sẻ tệp tin. Việc cập nhật bản vá bảo mật là bước quan trọng để đảm bảo an toàn thông tin.
Thông tin về Phát hiện
Lỗ hổng này được phát hiện và báo cáo một cách có trách nhiệm bởi Ofek Levin thuộc Enclave thông qua chương trình báo cáo lỗ hổng có phối hợp của Microsoft.
Nguồn tham khảo
Thông tin chi tiết về lỗ hổng và bản cập nhật có thể được tìm thấy trên trang tư vấn bảo mật của Microsoft: Microsoft Security Response Center.
Việc chủ động theo dõi các cảnh báo CVE mới nhất và áp dụng các biện pháp khắc phục kịp thời là yếu tố then chốt trong chiến lược an ninh mạng của mọi tổ chức.
