Tưởng tượng bạn mở email công ty vào sáng thứ Hai và phát hiện toàn bộ hộp thư đã bị kẻ lạ kiểm soát - đó chính là cơn ác mong mà hàng triệu doanh nghiệp đang phải đối mặt. CVE-2026-42897, lỗ hổng zero-day mới xuất hiện trên Microsoft Exchange, đang bị khai thác tích cực trong tự nhiên. Điều đáng lo ngại nhất? Microsoft vẫn chưa tung ra bản vá bảo mật nào.

Cuộc tấn công âm thầm qua 'cửa sau' OWA

CVE-2026-42897 khai thác lỗ hổng Cross-Site Scripting (XSS) - một kỹ thuật cho phép hacker chèn mã độc vào trang web hợp pháp. Trong trường hợp này, mục tiêu chính là Outlook Web Access (OWA), giao diện web để truy cập email Exchange mà hầu hết doanh nghiệp đều sử dụng hàng ngày. Kẻ tấn công chỉ cần gửi một email có chứa mã JavaScript độc hại, và khi nạn nhân mở email qua OWA, đoạn mã sẽ tự động thực thi.

Chúng tôi cho rằng đây là một trong những kiểu tấn công nguy hiểm nhất hiện nay. Bởi nó không yêu cầu nạn nhân phải click vào link lạ hay tải file đính kèm - chỉ cần mở email là đủ. Khi mã độc được kích hoạt, hacker có thể đánh cắp session cookies, chiếm quyền kiểm soát hộp thư, thậm chí lan truyền sang các tài khoản khác trong cùng tổ chức.

Zero-day - 'viên đạn ma' của giới hacker

Thuật ngữ 'zero-day' xuất phát từ việc nhà cung cấp phần mềm có 'không ngày' nào để vá lỗi trước khi nó bị khai thác. Điều này có nghĩa CVE-2026-42897 đã được hacker phát hiện và sử dụng trước cả khi Microsoft biết đến sự tồn tại của nó. Theo thống kê của Mandiant, năm 2023 ghi nhận 97 lỗ hổng zero-day bị khai thác tích cực, tăng 50% so với năm trước.

Lỗ hổng XSS trên Exchange không phải trường hợp đầu tiên Microsoft phải đối mặt. Năm 2021, nhóm hacker Hafnium từng khai thác 4 lỗ hổng zero-day khác trên Exchange Server, ảnh hưởng đến hơn 250.000 máy chủ toàn cầu. Tuy nhiên, CVE-2026-42897 có vẻ nguy hiểm hơn vì nó nhắm trực tiếp vào giao diện web mà người dùng truy cập hàng ngày, thay vì yêu cầu quyền truy cập server.

Tác động lan rộng khắp doanh nghiệp Việt Nam

Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), Việt Nam có khoảng 60% doanh nghiệp sử dụng Microsoft Exchange để quản lý email nội bộ. Con số này có nghĩa hàng chục nghìn tổ chức trong nước đang tiềm ẩn rủi ro bị tấn công qua CVE-2026-42897. Đặc biệt, các ngân hàng, công ty tài chính và cơ quan nhà nước - những nơi thường xử lý thông tin nhạy cảm qua email - đang trở thành mục tiêu 'béo bở' của tin tặc.

Chúng tôi đánh giá tác động kinh tế từ lỗ hổng này có thể lên đến hàng trăm tỷ đồng nếu xét đến chi phí khắc phục sự cố, gián đoạn hoạt động kinh doanh và thiệt hại danh tiếng. Một cuộc tấn công thành công có thể cho phép hacker truy cập toàn bộ hệ thống email của doanh nghiệp, đánh cắp thông tin khách hàng, hợp đồng mật và kế hoạch kinh doanh.

Phương án 'cầm cự' khi chưa có thuốc chữa

Trong khi chờ Microsoft phát hành bản vá chính thức, các chuyên gia khuyên doanh nghiệp Việt Nam nên áp dụng ngay các biện pháp phòng ngừa sau đây. Đầu tiên, hạn chế tối đa việc sử dụng Outlook Web Access, chuyển sang ứng dụng Outlook desktop hoặc mobile app thay thế. Thứ hai, triển khai Web Application Firewall (WAF) với quy tắc chặn các đoạn script đáng ngờ trong email HTML.

Đồng thời, IT quản trị cần kích hoạt chế độ ghi log chi tiết cho OWA để phát hiện sớm các dấu hiệu bất thường. Quan trọng nhất là đào tạo nhân viên nhận biết email khả nghi và báo cáo ngay cho bộ phận IT khi phát hiện hành vi lạ trong hệ thống email. Mặc dù các biện pháp này không thể ngăn chặn hoàn toàn cuộc tấn công, chúng sẽ giảm đáng kể khả năng thành công của hacker cho đến khi có bản vá chính thức.