Cảnh báo màn hình đỏ lại xuất hiện trên màn hình các chuyên gia bảo mật toàn cầu. Microsoft vừa phát đi thông báo khẩn cấp về lỗ hổng zero-day nghiêm trọng mang mã CVE-2026-42897 đang được các nhóm hacker tích cực khai thác để tấn công vào hệ thống Exchange Server. Điều đáng lo ngại nhất là hiện tại chưa có bản vá bảo mật chính thức nào được phát hành.

Cuộc tấn công âm thầm đã bắt đầu

CVE (Common Vulnerabilities and Exposures - hệ thống mã hóa lỗ hổng bảo mật quốc tế) là cách thức tiêu chuẩn để định danh các lỗ hổng bảo mật. Lỗ hổng CVE-2026-42897 được phát hiện đang hoạt động "trong tự nhiên" (in the wild), có nghĩa là các cuộc tấn công thực sự đã diễn ra chứ không chỉ dừng lại ở mức lý thuyết. Tình huống này nhắc chúng tôi nhớ đến chuỗi tấn công Exchange Server năm 2021 với nhóm lỗ hổng ProxyLogon, khi hàng chục nghìn tổ chức trên toàn thế giới bị xâm nhập.

Exchange Server là backbone (xương sống) của hệ thống email doanh nghiệp, xử lý hàng tỷ thư điện tử mỗi ngày. Khi hệ thống này bị tổn thương, toàn bộ dữ liệu nhạy cảm từ email nội bộ, tài liệu mật đến thông tin khách hàng đều có thể rơi vào tay kẻ xấu. Chúng tôi đánh giá đây là một trong những lỗ hổng nguy hiểm nhất trong năm 2024.

Khi bản vá chưa có, giải pháp tạm thời là gì?

Microsoft đã khẩn trương công bố các biện pháp giảm thiểu rủi ro (mitigation) nhằm "đắp lỗ hổng" tạm thời cho đến khi bản vá chính thức được phát hành. Đây là chiến thuật thường thấy trong các tình huống khẩn cấp zero-day - khi thời gian là yếu tố quyết định. Các biện pháp này thường bao gồm việc thay đổi cấu hình hệ thống, vô hiệu hóa một số tính năng nhất định hoặc áp dụng các rule bảo mật bổ sung.

Zero-day (lỗ hổng ngày số không) là thuật ngữ chỉ những lỗ hổng bảo mật mà nhà phát triển chưa kịp phát hiện và vá lỗi, nhưng hacker đã biết và khai thác. Tên gọi "ngày số không" xuất phát từ việc các nhà phát triển có "0 ngày" để chuẩn bị phòng thủ sau khi lỗ hổng bị phát hiện. Đối với Exchange Server, việc này đặc biệt nguy hiểm vì hệ thống thường được kết nối trực tiếp với internet để xử lý email.

Sóng tsunami tấn công có thể lan rộng như thế nào?

Dựa trên kinh nghiệm từ các cuộc tấn công Exchange trước đây, chúng tôi dự báo tác động có thể lan rộng ra hàng chục nghìn tổ chức worldwide trong vòng vài tuần tới. Năm 2021, chỉ riêng tại Việt Nam đã có hàng trăm doanh nghiệp bị ảnh hưởng bởi lỗ hổng ProxyLogon, bao gồm cả một số ngân hàng và tập đoàn lớn. Con số thống kê từ Shodan cho thấy có khoảng 400.000 máy chủ Exchange đang được expose trên internet toàn cầu.

Các cuộc tấn công vào Exchange Server thường không chỉ dừng lại ở việc đánh cắp email. Hacker có thể sử dụng quyền truy cập này như một "đầu cầu" để xâm nhập sâu hơn vào mạng nội bộ, cài đặt malware, mã hóa dữ liệu để tống tiền (ransomware), hoặc thiết lập các backdoor để tấn công lâu dài. Đây chính là lý do tại sao Microsoft phải phát cảnh báo khẩn cấp ngay lập tức.

Hành động khẩn cấp doanh nghiệp Việt cần thực hiện ngay

Các doanh nghiệp Việt Nam đang sử dụng Exchange Server cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản Exchange Server hiện tại và xác định có nằm trong danh sách bị ảnh hưởng hay không. Tiếp theo, áp dụng ngay lập tức các biện pháp mitigation mà Microsoft đã công bố trên trang Security Response Center. Bước thứ ba là tăng cường monitoring (giám sát) để phát hiện các dấu hiệu bất thường trong log hệ thống.

Chúng tôi khuyến nghị các CISO (Chief Information Security Officer) và IT Manager nên thiết lập emergency response team để theo dõi tình hình 24/7 trong thời gian này. Việc backup dữ liệu quan trọng và chuẩn bị kế hoạch incident response cũng cần được ưu tiên hàng đầu. Đồng thời, cần thông báo và đào tạo nhân viên nhận biết các email đáng ngờ, vì đây có thể là vector tấn công phụ trong giai đoạn này.