Zero-Day mới trên Microsoft Exchange: Chỉ một email có thể đánh cắp toàn bộ phiên đăng nhập OWA
Tóm tắt rủi ro
Vừa qua một lỗ hổng đặc biệt nghiêm trọng đã được tìm thấy khiến cộng đồng bảo mật đặc biệt lo ngại, khi chỉ một email được chế tác tinh vi cũng đủ để thực thi JavaScript độc hại ngay trên trình duyệt của người dùng Microsoft Exchange On-Prem. Điều đáng sợ là lỗ hổng này đã bị khai thác ngoài thực tế trước cả khi nhiều tổ chức kịp nhận ra họ đang gặp nguy hiểm.
Nhưng phần đáng chú ý nhất lại không nằm ở khả năng chiếm đoạt phiên Outlook Web Access (OWA). Vấn đề thực sự là ngay cả công cụ kiểm tra bảo mật chính thức của Microsoft cũng đang “bỏ sót” trạng thái bảo vệ hệ thống. Health Checker có thể báo rằng máy chủ đã an toàn trong khi mitigation thực tế chưa hoạt động đúng cách — tạo ra một cảm giác an toàn giả cực kỳ nguy hiểm cho quản trị viên.
Bối cảnh và lịch sử bị tấn công
Microsoft Exchange On-Premises từ lâu là mục tiêu trọng yếu của APT và ransomware operators do: Đây được xem như một hệ thống email trung tâm doanh nghiệp, thường public Internet qua OWA/ECP và có chứa credential và dữ liệu nhạy cảm.
Đây cũng không phải lần đầu mà Microsoft Exchange On-Premises bị khai thác tích cự như vậy, trong quá khứ cũng đã ghi nhận một loạt các chiến dịch với rủi ro cao:
Chiến dịch | Năm ghi nhận | CVE | Phiên bản ảnh hưởng | Loại lỗ hổng |
ProxyLogon | 2021 | CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 | Microsoft Exchange Server 2013–2019 | Remote code execution (RCE) via unauthenticated access |
ProxyShell | 2021 | CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 | Microsoft Exchange Server (on-premises) | Remote code execution (RCE) via unauthenticated access |
OWASSRF | 2022 | CVE-2022-41040 and CVE-2022-41082 | Microsoft Exchange Server 2013, 2016, 2019 | Server-Side Request Forgery (SSRF) and Remote Code Execution (RCE) |
Đến với CVE-2026-42897 tiếp tục cho thấy một thực trạng ATTT hiện nay là Exchange on Prem vẫn là attack surface cực lớn, OWA browser context là mục tiêu hấp dẫn cũng như Email-based exploitation vẫn hiệu quả dù nhiều lớp phòng thủ hiện đại tồn tại.
Khác với ProxyLogon/ProxyShell tập trung RCE server-side, thì CVE-2026-42897 khai thác theo hướng: Client-side browser execution, Session hijacking, Identity abuse, Browser trust exploitation.
Thông tin vulnerability
| Thuộc tính | Giá trị |
|---|---|
| CVE | CVE-2026-42897 |
| Severity | High |
| CVSS | 8.1 |
| CWE | CWE-79 – Cross-Site Scripting |
| Affected Component | Outlook Web Access (OWA) |
| Affected Products | Exchange Server 2016 / 2019 / SE |
| Attack Vector | Network |
| User Interaction | Required |
| Exploitation | Confirmed In-The-Wild |
Timeline sự kiện
| Thời gian | Sự kiện |
|---|---|
| 14/05/2026 | Microsoft công bố CVE-2026-42897 |
| 14/05/2026 | Xác nhận active exploitation |
| 15/05/2026 | The Hacker News và nhiều hãng bảo mật phát cảnh báo |
| 15–17/05/2026 | Microsoft phát hành mitigation tạm thời qua EEMS |
| Hiện tại | Chưa có permanent security patch hoàn chỉnh |
Cơ chế kỹ thuật
Điều kiện khai thác
Để có thể thực hiện được chiến dịch một cách thành công đầu tiên Attacker gửi crafted email, sau đó user mở email bằng OWA và JavaScript payload thực thi trong browser context.
Payload của kẻ tấn công có thể: đọc DOM, gửi request thay mặt user, đánh cắp token, thực hiện spoofing actions.
Kiến trúc liên quan và Root Cause
Để hiểu vì sao CVE-2026-42897 lại nguy hiểm dù không phải một lỗ hổng Remote Code Execution (RCE) truyền thống, chúng ta sẽ cần nhìn vào cách Microsoft Exchange On-Premise xử lý email thông qua Outlook Web Access (OWA).
Trong mô hình vận hành thông thường, người dùng truy cập OWA thông qua trình duyệt web. Request sẽ đi qua IIS và Exchange Frontend trước khi kết nối tới Mailbox Service để lấy nội dung email. Sau đó, OWA Rendering Engine sẽ chuyển đổi email thành nội dung HTML và trả về cho browser người dùng hiển thị.
Vấn đề của CVE-2026-42897 nằm chính xác ở bước render nội dung này. Khi một email chứa HTML được gửi tới hệ thống Exchange, OWA sẽ parse MIME content, tái cấu trúc lại nội dung HTML rồi render trực tiếp vào browser. Về mặt thiết kế, email HTML được xem như “rich content” hợp lệ nhằm hỗ trợ trải nghiệm webmail hiện đại. Tuy nhiên, quá trình sanitize dữ liệu đầu vào đã không loại bỏ hoàn toàn các thành phần nguy hiểm do attacker kiểm soát. Điều này tạo ra một Stored XSS trong chính context của OWA.
Nói cách khác, attacker không cần khai thác vào hệ điều hành hay thực thi mã trên server Exchange. Thay vào đó, họ chỉ cần gửi một crafted email chứa payload HTML/JavaScript được thiết kế đặc biệt. Khi nạn nhân mở email bằng OWA, browser sẽ render nội dung này như một phần hợp lệ của trang web Exchange và JavaScript độc hại sẽ được thực thi trực tiếp trong phiên đăng nhập của người dùng.
Điều này đồng nghĩa đoạn script độc hại sẽ chạy dưới cùng origin với OWA, ví dụ như:
Khi browser tin tưởng origin này, JavaScript có thể thực hiện hàng loạt hành vi nguy hiểm như đọc DOM, gửi request thay mặt người dùng, thao tác mailbox, tạo mailbox rule hoặc đánh cắp session/token xác thực. Đây là lý do CVE-2026-42897 dù “chỉ” là XSS nhưng impact thực tế lại rất gần với một vụ compromise tài khoản hoàn chỉnh.
Kỹ thuật chi tiết
Lỗ hổng này để khai thác thành công thì kẻ tấn công sẽ cần trải qua 4 giai đoạn khác nhau từ thăm dò đến lấy đi dữ liệu quan trọng, mỗi giai đoạn sẽ đều là bàn đạp cho các cuộc tấn công tiếp theo.
Giai đoạn 1 – Attacker gửi crafted email
Bước đầu tiên của attack chain cực kỳ đơn giản. Attacker chỉ cần gửi một email chứa payload HTML hoặc JavaScript được chế tạo đặc biệt tới người dùng nội bộ.
Trong điều kiện bình thường, các thành phần như: <script>, onerror=, onload=, inline JavaScript phải bị sanitize hoặc encode trước khi hiển thị. Nhưng với CVE-2026-42897, attacker có thể bypass một phần cơ chế filtering của OWA thông qua: malformed HTML, obfuscation, encoded payload, MIME structure manipulation. Kết quả là payload vẫn tồn tại trong email sau khi đi qua Exchange.
Giai đoạn 2 – Exchange xử lý email
Khi email tới mailbox, Exchange sẽ thực hiện một loạt các bước sau: lưu email vào database, parse MIME structure, chuyển đổi email thành nội dung web và thực hiện render trong OWA. Như đã nói quá trình này chính là điểm “root cause” của lỗ hổng.
OWA tin rằng email HTML là “rich content hợp lệ” nên cố gắng giữ lại càng nhiều formatting càng tốt để người dùng có trải nghiệm giống Outlook desktop. Tuy nhiên, trong quá trình rebuild HTML, một số attacker-controlled content không bị loại bỏ hoàn toàn.
Hiểu đơn giản khi attacker gửi “HTML giả mạo”, OWA vô tình biến nó thành “HTML hợp lệ” và browser thực thi như nội dung trusted, kỹ thuật này chính là Stored XSS.
Giai đoạn 3 – Người dùng mở email bằng OWA
Ngay sau khi nạn nhân đăng nhập vào: https://mail.company.com/owa/ và mở email độc hại, browser sẽ render nội dung email ngay bên trong website OWA. Điểm cực kỳ quan trọng ở đây là browser tin tưởng: mail.company.com - do đây là website hợp lệ của doanh nghiệp.
Do JavaScript được thực thi dưới cùng origin với OWA nên attacker có thể: đọc nội dung mailbox, gửi request authenticated, truy cập session hiện tại, thao tác mailbox thay mặt user.
Giai đoạn 4 – JavaScript bắt đầu hoạt động
Sau khi payload chạy thành công, attacker có thể thực hiện nhiều hành động nguy hiểm ngay trong browser session của nạn nhân.
Ví dụ chúng có thể: đọc email, gửi email nội bộ, tạo mailbox forwarding rule, đánh cắp token xác thực, tự động phishing nội bộ hay nguy hiểm hơn là tải thêm payload từ server ngoài. Điểm đáng sợ là toàn bộ hành vi này đều diễn ra dưới session hợp lệ của người dùng thật.
Về phía hệ thống: Exchange thấy request hợp lệ, browser thấy JavaScript hợp lệ, EDR không thấy malware process và SOC khó phát hiện bất thường ngay lập tức.
MITRE ATT&CK Mapping
| Tactic | Technique | Mô tả |
|---|---|---|
| Initial Access | T1566.001 | Spearphishing Attachment/Email |
| Execution | T1059.007 | JavaScript Execution |
| Credential Access | T1539 | Steal Web Session Cookie |
| Collection | T1114 | Email Collection |
| Persistence | T1137 | Office Application Startup/Rules |
| Defense Evasion | T1036 | Masquerading/Spoofing |
| Lateral Movement | T1021 | Remote Services via hijacked account |
Nhận định
Mặc dù điểm CVSS 8.1 phản ánh đúng mức độ nghiêm trọng của nguy cơ chiếm quyền kiểm soát hòm thư trên diện rộng, thách thức lớn nhất trong sự kiện CVE-2026-42897 lại nằm ở khía cạnh vận hành bảo mật (SecOps) hơn là bản thân kỹ thuật khai thác.
Tại Việt Nam, nhiều tổ chức thuộc khối tài chính, cơ quan nhà nước và doanh nghiệp lớn vẫn đang vận hành hệ thống Microsoft Exchange On-Premise như một hạ tầng trọng yếu. Trong thực tế, không ít đội ngũ quản trị phụ thuộc gần như hoàn toàn vào kết quả từ script Health Checker của Microsoft để đánh giá trạng thái vá lỗi và báo cáo trực tiếp cho ban lãnh đạo.
Khi công cụ này xuất hiện tình trạng “false negative” — hiển thị hệ thống chưa được bảo vệ dù mitigation đã được áp dụng — hệ quả không chỉ dừng ở yếu tố kỹ thuật. Nó có thể tạo ra áp lực vận hành lớn đối với SOC và đội hạ tầng, dẫn đến: lãng phí thời gian xác minh và điều tra lại nhiều lần, phát sinh cảnh báo nội bộ không cần thiết, gây hoang mang trong quá trình ứng cứu và nghiêm trọng hơn là thúc đẩy kỹ sư thực hiện các thay đổi cấu hình hoặc tái áp dụng mitigation một cách thiếu kiểm soát, vô tình làm tăng nguy cơ sai lệch hệ thống hoặc gián đoạn dịch vụ.
Khuyến nghị hành động
Xác minh chính xác trạng thái mitigation
Không nên phụ thuộc hoàn toàn vào kết quả từ Health Checker hoặc một công cụ đơn lẻ để kết luận hệ thống đã an toàn.
Xác minh mitigation ở cả mức cấu hình và hành vi thực tế,
Lưu lại snapshot cấu hình trước/sau khi áp dụng mitigation,
Chuẩn hóa checklist xác minh cho SOC và đội vận hành.
Kiểm tra trạng thái Exchange Emergency Mitigation Service (EEMS)
Đảm bảo:
EEMS đang được bật,
server có thể kết nối Microsoft Office Config Service,
mitigation mới nhất đã được tải và apply thành công.
Kiểm tra:
Get-ExchangeServer | Format-List MitigationsEnabled
Kiểm tra mitigation đã apply:
Get-Mitigations
Theo dõi Event ID liên quan: 1005, 1006, 1008
Rà soát toàn bộ Exchange Internet-facing
Giới hạn truy cập OWA bằng VPN hoặc Conditional Access,
Áp dụng Geo-IP filtering,
Chỉ cho phép IP whitelist với admin portal,
Tách riêng administrative access khỏi public access.
Tăng cường monitoring cho OWA
Theo dõi bất thường trong IIS Logs
Giám sát mailbox activity
Theo dõi session/token bất thường
Tăng cường bảo vệ phía người dùng
Bắt buộc MFA cho OWA
Hạn chế browser risk
Nâng cao nhận thức người dùng
Không mở email HTML đáng ngờ,
Không tin email nội bộ bất thường,
Kiểm tra outbound email bất thường
Tập trung:
Số lượng gửi tăng đột biến,
Gửi nội bộ hàng loạt,
Gửi domain lạ.
Tham Khảo
On-Prem Microsoft Exchange Server CVE-2026-42897 Exploited via Crafted Email
Addressing Exchange Server May 2026 vulnerability CVE-2026-42897 | Microsoft Community Hub
