Microsoft đã tiết lộ một lỗ hổng bảo mật mới ảnh hưởng đến các phiên bản Exchange Server on-premise mà hãng cho biết đang bị khai thác tích cực trong thực tế.
Lỗ hổng này, được theo dõi với mã CVE-2026-42897 (điểm CVSS: 8.1), được mô tả là một lỗi spoofing bắt nguồn từ khiếm khuyết cross-site scripting (XSS). Một nhà nghiên cứu ẩn danh đã được ghi nhận là người phát hiện và báo cáo vấn đề này.
"Việc trung hòa đầu vào không đúng cách trong quá trình tạo trang web ('cross-site scripting') trong Microsoft Exchange Server cho phép kẻ tấn công chưa được xác thực thực hiện hành vi spoofing qua mạng," gã khổng lồ công nghệ cho biết trong một bản tin tư vấn hôm thứ Năm.
Microsoft, đơn vị đã gắn nhãn lỗ hổng này với đánh giá "Exploitation Detected" (Đã phát hiện khai thác), cho biết kẻ tấn công có thể vũ khí hóa nó bằng cách gửi một email được thiết kế đặc biệt cho người dùng. Khi email này được mở trong Outlook Web Access và đáp ứng "một số điều kiện tương tác nhất định", nó có thể cho phép mã JavaScript tùy ý được thực thi trong ngữ cảnh của trình duyệt web.
Redmond cũng lưu ý rằng họ đang cung cấp một biện pháp giảm thiểu tạm thời thông qua Exchange Emergency Mitigation Service, trong khi chuẩn bị bản vá vĩnh viễn cho khiếm khuyết bảo mật này.
Dịch vụ Exchange Emergency Mitigation Service sẽ tự động cung cấp biện pháp giảm thiểu thông qua cấu hình URL rewrite và được bật theo mặc định. Nếu dịch vụ này chưa được kích hoạt, người dùng được khuyến nghị bật dịch vụ Windows này.
Theo Microsoft, Exchange Online không bị ảnh hưởng bởi lỗ hổng này. Các phiên bản Exchange Server on-premise sau đây bị ảnh hưởng:
- Exchange Server 2016 (mọi cấp độ cập nhật)
- Exchange Server 2019 (mọi cấp độ cập nhật)
- Exchange Server Subscription Edition (SE) (mọi cấp độ cập nhật)
Nếu việc sử dụng Exchange Emergency Mitigation Service không khả thi do các hạn chế về air-gap (cách ly mạng), công ty đã vạch ra các bước thực hiện sau:
- Tải xuống phiên bản mới nhất của Exchange on-premises Mitigation Tool (EOMT) từ aka[.]ms/UnifiedEOMT.
- Áp dụng biện pháp giảm thiểu cho từng máy chủ hoặc cho tất cả các máy chủ cùng lúc bằng cách chạy script thông qua Exchange Management Shell (EMS) với quyền nâng cao:
- Máy chủ đơn lẻ:
.\EOMT.ps1 -CVE "CVE-2026-42897" - Tất cả máy chủ:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
- Máy chủ đơn lẻ:
Microsoft cho biết họ cũng đã ghi nhận một vấn đề đã biết, trong đó biện pháp giảm thiểu hiển thị thông báo "Mitigation invalid for this exchange version" trong trường Description. "Vấn đề này chỉ là về mặt hiển thị và biện pháp giảm thiểu VẪN được áp dụng thành công nếu trạng thái hiển thị là 'Applied'," nhóm Exchange cho biết. "Chúng tôi đang nghiên cứu cách giải quyết vấn đề này."
Hiện chưa có thông tin chi tiết về cách thức lỗ hổng bị khai thác, danh tính của tác nhân đe dọa đứng sau hay quy mô của các cuộc tấn công. Cũng chưa rõ mục tiêu là ai và liệu có cuộc tấn công nào thành công hay không. Trong thời gian này, người dùng được khuyến nghị áp dụng các biện pháp giảm thiểu theo hướng dẫn của Microsoft.
