Microsoft đã công bố một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các triển khai Exchange Server hybrid, cho phép kẻ tấn công có quyền quản trị leo thang đặc quyền và có khả năng xâm phạm toàn bộ cơ sở hạ tầng đám mây lẫn tại chỗ của tổ chức. Lỗ hổng CVE-2025-53786 này, được công bố vào ngày 6 tháng 8 năm 2025, đã thúc đẩy hành động khẩn cấp từ các cơ quan an ninh mạng trên toàn thế giới để đối phó với mối nguy cơ bảo mật tiềm tàng.

Tổng quan về Lỗ hổng CVE-2025-53786 trên Microsoft Exchange Server Hybrid

Lỗ hổng CVE-2025-53786, định danh là “Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability”, là một mối đe dọa mạng đáng kể đối với các môi trường Exchange hybrid.

Lỗi này cho phép các tác nhân đe dọa mạng, những người đã có quyền quản trị ban đầu trên một máy chủ Microsoft Exchange tại chỗ, tiếp tục leo thang đặc quyền.

Việc khai thác diễn ra thông qua các cấu hình hybrid-joined dễ bị tổn thương, đặc biệt nhắm mục tiêu vào cơ chế xác thực.

Hậu quả có thể là sự xâm phạm tính toàn vẹn danh tính của dịch vụ Exchange Online, mở rộng quyền kiểm soát từ môi trường on-premises sang đám mây, dẫn đến nguy cơ chiếm quyền điều khiển toàn diện hệ thống.

Điều này có thể cho phép kẻ tấn công truy cập vào email, dữ liệu nhạy cảm, và thậm chí điều khiển các tài khoản người dùng và tài nguyên khác trong môi trường hybrid.

Chi tiết Kỹ thuật và Đánh giá CVSS của Lỗ hổng CVE-2025-53786

Lỗ hổng CVE-2025-53786 được gán điểm CVSS 8.0/10, xếp loại “Important” theo đánh giá của Microsoft.

Vector tấn công yêu cầu quyền truy cập mạng và độ phức tạp tấn công cao, cùng với yêu cầu đặc quyền cao.

Tuy nhiên, không cần tương tác của người dùng để khai thác thành công.

Việc khai thác thành công lỗ hổng này có thể dẫn đến một sự thay đổi phạm vi hoàn toàn (complete scope change), gây ra tác động cao đến tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của dữ liệu và dịch vụ.

Nói cách khác, kẻ tấn công có thể đọc trộm thông tin nhạy cảm, sửa đổi dữ liệu quan trọng mà không bị phát hiện, hoặc làm gián đoạn hoàn toàn các dịch vụ email và giao tiếp.

Cảnh báo và Hướng dẫn Khẩn cấp từ CISA về Lỗ hổng CVE-2025-53786

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã ban hành hướng dẫn khẩn cấp liên quan đến lỗ hổng CVE-2025-53786.

Mặc dù Microsoft chưa ghi nhận việc khai thác nào tại thời điểm công bố, CISA nhấn mạnh sự cần thiết của hành động nhanh chóng để ngăn chặn khả năng bị xâm phạm.

CISA đặc biệt cảnh báo rằng việc không khắc phục lỗ hổng CVE này có thể dẫn đến “compromise toàn bộ domain lai giữa đám mây và tại chỗ”.

Đây là một cảnh báo nghiêm trọng, ngụ ý rằng kẻ tấn công có thể đạt được quyền kiểm soát hoàn toàn đối với môi trường Active Directory của tổ chức, ảnh hưởng đến cả các tài nguyên on-premises và Exchange Online.

Hậu quả của việc này bao gồm khả năng cài đặt mã độc tống tiền, đánh cắp dữ liệu quy mô lớn, hoặc phá hoại hệ thống.

Tham khảo cảnh báo gốc của CISA tại: CISA Alert AR25-218A.

Chiến lược Giảm thiểu và Khắc phục cho Lỗ hổng CVE-2025-53786

Để đối phó với lỗ hổng CVE-2025-53786, các tổ chức đang sử dụng triển khai Exchange hybrid được khuyến nghị xem xét ngay lập tức hướng dẫn bảo mật của Microsoft và triển khai các chiến lược giảm thiểu được khuyến nghị.

Các bước này là tối quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công khai thác lỗ hổng này.

Cập nhật Bản vá Bảo mật và Cấu hình an toàn

Biện pháp khắc phục chính là cài đặt các bản cập nhật Hotfix Exchange Server tháng 4 năm 2025 trên các máy chủ Exchange tại chỗ.

Các bản vá bảo mật này chứa các sửa lỗi cần thiết để vá lỗ hổng bảo mật nghiêm trọng.

Ngoài ra, các tổ chức cần tuân thủ hướng dẫn cấu hình của Microsoft để triển khai các ứng dụng Exchange hybrid chuyên dụng một cách an toàn.

Điều này giúp đảm bảo rằng các thành phần hybrid được cấu hình đúng cách, giảm thiểu bề mặt tấn công tiềm năng.

Kiểm tra và Khôi phục Service Principal KeyCredentials

Đối với các tổ chức hiện đang sử dụng hoặc trước đây đã cấu hình môi trường Exchange hybrid, Microsoft khuyến nghị xem xét hướng dẫn “Service Principal Clean-Up Mode”.

Mục đích chính là để đặt lại (reset) các keyCredentials của service principal.

Đây là một bước cực kỳ quan trọng nhằm đảm bảo rằng các khóa xác thực không bị chiếm dụng hoặc lạm dụng bởi kẻ tấn công.

Việc thực hiện này thường liên quan đến việc sử dụng các lệnh PowerShell để quản lý và khôi phục các thông tin đăng nhập dịch vụ.

# Ví dụ về lệnh PowerShell để kiểm tra và đặt lại Service Principal
# (Lưu ý: Đây là ví dụ chung, cần tham khảo tài liệu chính thức của Microsoft để biết lệnh chính xác cho CVE-2025-53786)

# Liệt kê Service Principals liên quan (cần xác định chính xác AppPrincipalId của Exchange Hybrid)
# Get-MsolServicePrincipal -All | Select-Object DisplayName, ObjectId, AppPrincipalId

# Để reset keyCredentials, thường cần xóa và tạo lại Service Principal hoặc cập nhật các thuộc tính key credentials
# Ví dụ: New-MsolServicePrincipalKey -AppPrincipalId <AppPrincipalId> -EndDate <NewEndDate>

# Luôn tham khảo tài liệu chi tiết của Microsoft cho "Service Principal Clean-Up Mode guidance"
# để thực hiện đúng quy trình cho lỗ hổng CVE-2025-53786.

Biện pháp này giúp bảo vệ chống lại các hình thức tấn công dựa trên việc lạm dụng hoặc trộm cắp thông tin đăng nhập của service principal, một con đường phổ biến cho việc leo thang đặc quyền trong môi trường hybrid.

Sử dụng Microsoft Exchange Health Checker định kỳ

Thêm vào đó, các tổ chức nên chạy công cụ Microsoft Exchange Health Checker.

Công cụ này giúp xác định xem có cần thực hiện thêm các bước khắc phục nào hay không sau khi đã áp dụng các bản vá.

Health Checker cung cấp báo cáo chi tiết về tình trạng cấu hình và các bản vá của máy chủ Exchange, giúp phát hiện các lỗ hổng tiềm ẩn, cấu hình sai hoặc các vấn đề tuân thủ.

# Tải và chạy Exchange Health Checker (thường là một script PowerShell)
# cd "C:Program FilesMicrosoftExchange ServerV15Scripts"
# .HealthChecker.ps1 -Server <YourExchangeServerName> -DetailedHTMLReport -Path "C:HealthReports"

# Kiểm tra báo cáo HTML để biết chi tiết về các cảnh báo và khuyến nghị.

Việc thường xuyên sử dụng công cụ này là một phần quan trọng của chiến lược bảo mật chủ động, giúp duy trì tình trạng an toàn cho môi trường Exchange.

Khuyến nghị Bổ sung của CISA: Vô hiệu hóa Máy chủ Lỗi thời

CISA cũng khuyến nghị các tổ chức ngắt kết nối các phiên bản Exchange Server hoặc SharePoint Server công khai đã hết vòng đời (end-of-life) khỏi internet.

Đặc biệt là SharePoint Server 2013 và các phiên bản cũ hơn.

Các máy chủ lỗi thời này thường chứa nhiều lỗ hổng bảo mật đã biết và không còn được hỗ trợ bởi các bản vá bảo mật, trở thành mục tiêu dễ dàng cho các cuộc tấn công mạng và nguy cơ bị xâm nhập mạng.

Việc loại bỏ chúng khỏi mạng công cộng hoặc cách ly chúng trong mạng nội bộ là một biện pháp bảo vệ quan trọng để giảm thiểu rủi ro tổng thể.

Bằng cách tuân thủ nghiêm ngặt các hướng dẫn này, các tổ chức có thể giảm thiểu đáng kể rủi ro từ lỗ hổng CVE-2025-53786 và bảo vệ cơ sở hạ tầng Exchange hybrid của mình khỏi các mối đe dọa tiềm ẩn.