Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã ban hành Chỉ thị Khẩn cấp 25-02 vào ngày 7 tháng 8 năm 2025. Chỉ thị này yêu cầu các cơ quan liên bang ngay lập tức xử lý một **lỗ hổng CVE-2025-53786** nghiêm trọng trong các cấu hình hybrid của Microsoft Exchange. Đây là một **cảnh báo CVE** khẩn cấp, nhấn mạnh nguy cơ leo thang đặc quyền từ hệ thống tại chỗ lên môi trường đám mây.

CISA đã nhận diện lỗ hổng sau xác thực này với mã định danh **CVE-2025-53786**, ảnh hưởng đến các cấu hình kết nối hybrid của Microsoft Exchange. Lỗ hổng này đặc biệt nguy hiểm đối với các tổ chức vận hành Microsoft Exchange theo cấu hình hybrid mà chưa triển khai hướng dẫn vá lỗi tháng 4 năm 2025.

Phân tích Chi tiết **Lỗ hổng CVE-2025-53786** trong Microsoft Exchange Hybrid

Lỗ hổng **CVE-2025-53786** cho phép những kẻ tấn công đã có được quyền quản trị trên các máy chủ Exchange tại chỗ (on-premises) thực hiện di chuyển ngang (lateral movement) vào môi trường đám mây Microsoft 365. Điều này tạo ra một cầu nối nguy hiểm, từ đó tác nhân đe dọa có thể mở rộng phạm vi kiểm soát và truy cập dữ liệu trong môi trường đám mây.

Mặc dù việc khai thác lỗ hổng này yêu cầu quyền quản trị hiện có trên máy chủ Exchange, các quan chức CISA vẫn bày tỏ mối lo ngại sâu sắc. Họ nhấn mạnh sự dễ dàng mà các tác nhân đe dọa có thể leo thang đặc quyền và **chiếm quyền điều khiển** đáng kể các môi trường M365 Exchange Online của nạn nhân. Sự tồn tại của **lỗ hổng CVE-2025-53786** đại diện cho một rủi ro bảo mật đáng kể.

Triển khai Exchange hybrid là một cấu hình phổ biến được nhiều doanh nghiệp sử dụng để kết nối các hệ thống email tại chỗ với các hệ thống email đám mây. Do đó, lỗ hổng này tiềm ẩn nguy cơ tác động trên diện rộng đối với cơ sở hạ tầng email hỗn hợp.

Để biết thêm chi tiết kỹ thuật về lỗ hổng, bạn có thể tham khảo tại: NVD – CVE-2025-53786.

Chỉ thị Khẩn cấp CISA ED-25-02 và Thời hạn Tuân thủ

Các cơ quan liên bang đối mặt với một thời hạn nghiêm ngặt để giải quyết mối đe dọa bảo mật từ **lỗ hổng CVE-2025-53786**. Cụ thể, trước **9:00 AM EDT ngày thứ Hai, 11 tháng 8 năm 2025**, tất cả các cơ quan phải hoàn thành một số bước quan trọng để giảm thiểu rủi ro.

Chỉ thị này có hiệu lực liên tục cho đến khi CISA xác nhận rằng tất cả các cơ quan có môi trường Microsoft Exchange hybrid đã hoàn thành đầy đủ các biện pháp bảo mật cần thiết. Điều này thể hiện mức độ ưu tiên cao trong việc bảo vệ cơ sở hạ tầng quan trọng của chính phủ.

Các Yêu cầu Bắt buộc để Giảm thiểu Rủi ro **Lỗ hổng CVE-2025-53786**

CISA đã đưa ra một lộ trình rõ ràng gồm các hành động cần thiết để khắc phục **lỗ hổng CVE-2025-53786** và tăng cường tư thế bảo mật. Các bước này bao gồm:

Đánh giá Môi trường Microsoft Exchange Hiện tại

• Các cơ quan phải bắt đầu bằng việc đánh giá toàn diện môi trường Microsoft Exchange của mình.
• Sử dụng script **Microsoft’s Exchange Server Health Checker** để kiểm kê tất cả các máy chủ Exchange hiện có.
• Xác định mức **Cumulative Update (CU)** hiện tại của từng máy chủ.
• Bước này rất quan trọng để có cái nhìn tổng quan về tình trạng và mức độ tuân thủ của hệ thống.

Ngắt Kết Nối Máy Chủ End-of-Life (EOL)

• Ngay lập tức ngắt kết nối tất cả các máy chủ đã hết vòng đời (End-of-Life).
• Điều này bao gồm bất kỳ máy chủ nào không đủ điều kiện nhận các Hotfix Updates tháng 4 năm 2025.
• Cũng phải ngắt kết nối các máy chủ được xác định là lỗi thời bởi script kiểm tra tình trạng.
• Việc loại bỏ các máy chủ EOL là một biện pháp bảo mật cơ bản để loại bỏ các điểm yếu tiềm tàng.

Cập Nhật và Áp Dụng Hotfix cho Môi trường Hybrid

Đối với các cơ quan đang vận hành môi trường Microsoft Exchange hybrid, CISA yêu cầu thực hiện các hành động khẩn cấp bổ sung cho tất cả các máy chủ Exchange tại chỗ còn lại. Những hành động này nhằm đảm bảo tính bảo mật và ngăn chặn khả năng khai thác **lỗ hổng CVE-2025-53786**.

• Cập nhật lên Cumulative Update mới nhất:
  • Hệ thống Exchange 2019 yêu cầu ít nhất **CU14** hoặc **CU15**.
  • Hệ thống Exchange 2016 yêu cầu **CU23**.
• Áp dụng Hotfix Updates tháng 4 năm 2025:
  • Các **bản vá bảo mật** này rất quan trọng vì chúng giới thiệu sự hỗ trợ cho ứng dụng Exchange hybrid chuyên dụng trong Entra ID.
  • Việc áp dụng các hotfix này là bắt buộc để giải quyết triệt để lỗ hổng.

Chuyển Đổi sang Ứng Dụng Exchange Hybrid Chuyên Dụng

Ngoài việc vá lỗi ngay lập tức, các cơ quan phải thực hiện chuyển đổi chiến lược sang việc sử dụng ứng dụng Exchange hybrid chuyên dụng. Đây là một bước tiến quan trọng trong việc tăng cường bảo mật và quản lý:

• Thay thế các service principal chia sẻ cũ bằng các ứng dụng hybrid chuyên dụng mới trong Entra ID.
• Quá trình này yêu cầu chạy các script PowerShell cụ thể.
• Thực hiện các quy trình dọn dẹp thông tin xác thực để loại bỏ dấu vết của các cấu hình cũ.
• Đây là biện pháp phòng ngừa để ngăn chặn các kiểu tấn công liên quan đến ủy quyền và xác thực.

Chuẩn Bị cho Quá Trình Chuyển Đổi Microsoft Graph API

Nhìn về tương lai, các tổ chức cũng cần chuẩn bị cho quá trình chuyển đổi sang Microsoft Graph API. Từ tháng 10 năm 2025, các cuộc gọi EWS (Exchange Web Services) từ Exchange Server đến Exchange Online sẽ bị phản đối (deprecated).

Việc chuẩn bị cho sự thay đổi này là cần thiết để đảm bảo tính liên tục của các dịch vụ và khả năng tương thích trong tương lai, đồng thời phù hợp với lộ trình phát triển của Microsoft.

Báo cáo Tuân thủ và Hiệu lực Chỉ thị

Để đảm bảo tuân thủ đầy đủ các yêu cầu của Chỉ thị Khẩn cấp 25-02, tất cả các cơ quan phải gửi báo cáo tuân thủ cho CISA. Báo cáo này phải được nộp trước **5:00 PM EDT ngày 11 tháng 8 năm 2025**, sử dụng một mẫu do CISA cung cấp.

Chỉ thị khẩn cấp này sẽ duy trì hiệu lực cho đến khi CISA xác nhận rằng tất cả các cơ quan có môi trường Microsoft Exchange hybrid đã hoàn thành đầy đủ các biện pháp bảo mật được yêu cầu. Điều này thể hiện cam kết của CISA trong việc bảo vệ cơ sở hạ tầng liên bang trước các mối đe dọa nghiêm trọng như **lỗ hổng CVE-2025-53786**.

Để xem toàn văn chỉ thị, vui lòng truy cập: CISA Emergency Directive 25-02.