Một email dường như vô hại từ sếp gửi về có thể là vũ khí tấn công tinh vi nhất hiện nay. Microsoft vừa công bố cảnh báo khẩn cấp về lỗ hổng bảo mật CVE-2026-42897 đang bị khai thác tích cực trên các máy chủ Exchange Server triển khai tại doanh nghiệp. Với điểm CVSS 8.1, đây không chỉ là cảnh báo lý thuyết mà là mối đe dọa thực sự đang diễn ra ngay lúc này. Hàng nghìn doanh nghiệp trên toàn cầu có thể đã trở thành nạn nhân mà không hề hay biết.

Cuộc tấn công thầm lặng qua email giả mạo

CVE-2026-42897 là mã định danh lỗ hổng bảo mật quốc tế được xếp loại nghiêm trọng, cho phép kẻ tấn công thực hiện spoofing (giả mạo danh tính) thông qua kỹ thuật cross-site scripting (XSS - chèn mã độc vào trang web). Điều đáng lo ngại nhất là vector tấn công chính qua email được chế tạo đặc biệt, khiến nạn nhân khó phát hiện ra bất thường. Chúng tôi cho rằng đây là dạng tấn công tinh vi nhất hiện nay vì tận dụng lòng tin của người dùng vào hệ thống email nội bộ.

Một nhà nghiên cứu ẩn danh đã phát hiện và báo cáo lỗ hổng này cho Microsoft. Thực tế cho thấy những lỗ hổng được tìm ra bởi các researcher độc lập thường có tính nguy hiểm cao vì chúng có thể đã bị khai thác trong thời gian dài trước khi được phát hiện chính thức. Exchange Server, với vai trò là trái tim của hệ thống email doanh nghiệp, trở thành mục tiêu béo bở cho các cuộc tấn công có chủ đích.

Kỹ thuật tấn công và cơ chế hoạt động

Cross-site scripting trong bối cảnh này cho phép kẻ tấn công chèn mã JavaScript độc hại vào email, sau đó thực thi khi người dùng mở email trên Outlook Web App (OWA) hoặc các client khác. Lỗ hổng spoofing kết hợp tạo ra khả năng giả mạo danh tính người gửi một cách hoàn hảo. Điều này có nghĩa email độc hại có thể xuất hiện như được gửi từ CEO, phòng IT hoặc bất kỳ ai trong tổ chức.

Theo phân tích của chúng tôi, kỹ thuật này đặc biệt nguy hiểm vì vượt qua được hầu hết các giải pháp lọc email truyền thống. Email được gửi từ bên trong hệ thống nên không kích hoạt cảnh báo spam hay phishing thông thường. Kẻ tấn công có thể thu thập thông tin đăng nhập, cài đặt malware hoặc thực hiện social engineering để lừa đảo tài chính. Đây chính là lý do Microsoft đánh giá đây là mối đe dọa tích cực đang được khai thác ngoài thực tế.

Tác động nghiêm trọng đến doanh nghiệp Việt Nam

Theo thống kê của Cục An toàn thông tin, hơn 70% doanh nghiệp Việt Nam sử dụng Microsoft Exchange Server cho hệ thống email nội bộ. Con số này có nghĩa hàng chục nghìn tổ chức trong nước đang đối mặt với rủi ro bảo mật nghiêm trọng. Các cuộc tấn công email giả mạo có thể dẫn đến rò rỉ thông tin nhạy cảm, gian lận tài chính hoặc cài đặt ransomware.

Chúng tôi đánh giá tác động tại Việt Nam sẽ đặc biệt nghiêm trọng do nhiều doanh nghiệp chưa có quy trình patch bảo mật nghiêm ngặt. Các vụ việc gần đây như tấn công vào VCCorp, Vietnam Airlines cho thấy cybercriminal đang chú trọng vào thị trường Việt Nam. Lỗ hổng CVE-2026-42897 có thể trở thành cánh cửa để tội phạm mạng xâm nhập vào hạ tầng then chốt của các tập đoàn lớn.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp

Doanh nghiệp cần thực hiện ngay các bước sau để giảm thiểu rủi ro. Đầu tiên, kiểm tra phiên bản Exchange Server hiện tại và lên kế hoạch cập nhật bảo mật khẩn cấp khi Microsoft phát hành patch. Thứ hai, tăng cường giám sát log email để phát hiện các hoạt động bất thường, đặc biệt chú ý đến email nội bộ có nội dung đáng ngờ. Thứ ba, triển khai xác thực đa yếu tố (MFA) cho tất cả tài khoản email và hạn chế quyền truy cập OWA từ bên ngoài.

Về lâu dài, chúng tôi khuyến nghị doanh nghiệp Việt Nam nên xem xét chuyển đổi sang Microsoft 365 cloud hoặc các giải pháp email security gateway chuyên nghiệp. Đào tạo nhân viên nhận biết email phishing và quy trình xác minh danh tính người gửi qua kênh khác cũng là biện pháp quan trọng. Thời gian vàng để bảo vệ hệ thống đang dần cạn kiệt khi kẻ tấn công ngày càng tích cực khai thác lỗ hổng này.