Cộng đồng an ninh mạng đang đối mặt với một mối đe dọa đáng kể khi dữ liệu quét cho thấy hơn 28.000 máy chủ Microsoft Exchange vẫn chưa được vá lỗi và đang tiếp xúc công khai trên internet.

Các máy chủ này dễ bị tấn công bởi một lỗ hổng CVE nghiêm trọng, được định danh là CVE-2025-53786.

Lỗ Hổng CVE Nghiêm Trọng Trên Microsoft Exchange Hybrid

Đây là một lỗ hổng có mức độ nghiêm trọng cao, đạt điểm CVSS 8.0 trên thang 10. Lỗ hổng này cho phép những kẻ tấn công có quyền quản trị đối với các máy chủ Exchange tại chỗ (on-premises) có thể leo thang đặc quyền.

Quá trình leo thang đặc quyền diễn ra trong các môi trường đám mây Microsoft 365 được kết nối mà không để lại các dấu vết kiểm toán dễ dàng phát hiện.

Việc phát hiện lỗ hổng CVE nghiêm trọng này đã thúc đẩy sự can thiệp ngay lập tức từ chính phủ và các lời kêu gọi khẩn cấp tới các tổ chức trên toàn thế giới để triển khai các biện pháp an ninh khẩn cấp.

Lỗ hổng CVE-2025-53786 ảnh hưởng đến các triển khai Microsoft Exchange Server dạng hybrid.

Dữ liệu quét từ The Shadowserver Foundation đã xác định Hoa Kỳ, Đức và Nga là ba quốc gia hàng đầu có mật độ máy chủ dễ bị tấn công và đang tiếp xúc cao nhất.

Chi Tiết Kỹ Thuật về CVE-2025-53786

Lỗ hổng CVE-2025-53786 đã được Microsoft chính thức ghi nhận vào ngày 6 tháng 8 năm 2025.

Thông tin này được đưa ra sau khi nhà nghiên cứu bảo mật Dirk-Jan Mollema từ Outsider Security trình bày chi tiết các kỹ thuật khai thác tại hội nghị an ninh mạng Black Hat.

Lỗ hổng này xuất phát từ kiến trúc triển khai Exchange hybrid của Microsoft.

Kiến trúc này theo truyền thống sử dụng một Service Principal (nguyên tắc dịch vụ) được chia sẻ giữa các máy chủ Exchange tại chỗ và Exchange Online để xác thực.

Cấu hình này tạo ra một con đường nguy hiểm cho các cuộc tấn công leo thang đặc quyền, hay còn gọi là tấn công chiếm quyền điều khiển.

Khi kẻ tấn công xâm nhập vào các hệ thống tại chỗ, chúng có thể mở rộng quyền truy cập của mình sang các môi trường đám mây liên quan.

Cơ Chế Khai Thác và Tác Động

Lỗ hổng khai thác các mã thông báo truy cập đặc biệt (special access tokens) được sử dụng để liên lạc giữa máy chủ Exchange và Microsoft 365.

Khi các mã thông báo này bị đánh cắp, chúng không thể bị thu hồi.

Điều này cung cấp cho kẻ tấn công quyền truy cập không bị kiểm soát trong vòng lên đến 24 giờ.

Như Mollema đã giải thích trong bài thuyết trình của mình tại Black Hat: “Những mã thông báo này về cơ bản có hiệu lực trong 24 giờ. Bạn không thể thu hồi chúng. Vì vậy, nếu ai đó có mã thông báo này, hoàn toàn không có gì bạn có thể làm từ quan điểm phòng thủ.”

Tình trạng này tạo ra một khoảng thời gian nguy hiểm, trong đó kẻ tấn công có thể thực hiện các hành động độc hại mà không bị phát hiện hoặc ngăn chặn kịp thời.

Khả năng chiếm quyền điều khiển và truy cập trái phép vào môi trường đám mây đặt ra rủi ro nghiêm trọng về rò rỉ dữ liệu và kiểm soát hệ thống.

Phản Ứng Khẩn Cấp từ CISA và Microsoft

Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã đánh giá đây là một lỗ hổng có mức độ nghiêm trọng cao với những tác động đáng kể đối với an ninh doanh nghiệp.

CISA đã nhanh chóng phản ứng với mối đe dọa này bằng cách ban hành Chỉ thị Khẩn cấp 25-02 vào ngày 7 tháng 8. Chỉ thị này yêu cầu các cơ quan liên bang phải khắc phục lỗ hổng trước 9:00 AM ET vào thứ Hai, ngày 11 tháng 8.

Quyền Giám đốc CISA, Madhu Gottumukkala, đã nhấn mạnh tính chất quan trọng của tình hình, tuyên bố rằng cơ quan này “đang thực hiện hành động khẩn cấp để giảm thiểu lỗ hổng này, vốn gây ra một rủi ro đáng kể, không thể chấp nhận được đối với các hệ thống liên bang mà người Mỹ phụ thuộc vào.”

Chỉ thị khẩn cấp này phản ánh mức độ nghiêm trọng của tác động tiềm ẩn.

Việc khai thác thành công có thể cho phép kẻ tấn công leo thang đặc quyền “trong môi trường đám mây được kết nối của tổ chức mà không để lại các dấu vết dễ dàng phát hiện và kiểm toán được.”

Microsoft và CISA cảnh báo về “rủi ro đáng kể, không thể chấp nhận được” đối với các tổ chức vận hành cấu hình Exchange hybrid mà chưa triển khai hướng dẫn bảo mật tháng 4 năm 2025.

Microsoft đã bắt đầu giải quyết lỗ hổng lỗ hổng CVE này thông qua các thay đổi bảo mật được công bố vào ngày 18 tháng 4 năm 2025.

Các thay đổi này bao gồm việc giới thiệu quá trình chuyển đổi từ các Service Principal chia sẻ sang các ứng dụng Exchange hybrid chuyên dụng.

Microsoft có kế hoạch vĩnh viễn chặn lưu lượng Exchange Web Services (EWS) sử dụng Service Principal chia sẻ sau ngày 31 tháng 10 năm 2025.

Đây là một phần trong quá trình chuyển đổi sang kiến trúc Graph API an toàn hơn.

Biện Pháp Phòng Ngừa và Khuyến Nghị An Ninh Mạng

Các tổ chức phải hành động ngay lập tức để bảo vệ hệ thống của mình thông qua các bước quan trọng sau:

• Thực hiện ngay lập tức các bản vá và hướng dẫn bảo mật do Microsoft phát hành, đặc biệt là các thay đổi được công bố vào tháng 4 năm 2025.
• Đảm bảo rằng tất cả các máy chủ Exchange hybrid đều được cập nhật lên phiên bản mới nhất và cấu hình bảo mật được áp dụng đúng cách.
• Thường xuyên kiểm tra và giám sát các dấu hiệu bất thường trong môi trường Exchange và Microsoft 365 của bạn.
• Xem xét việc chuyển đổi hoàn toàn sang các ứng dụng Exchange hybrid chuyên dụng theo khuyến nghị của Microsoft để tăng cường an ninh mạng.
• Nâng cao nhận thức về các mối đe dọa và rủi ro tiềm ẩn đối với cơ sở hạ tầng Microsoft Exchange.

Việc không thực hiện các biện pháp này có thể khiến tổ chức đối mặt với các cuộc tấn công leo thang đặc quyền nghiêm trọng, dẫn đến việc chiếm quyền điều khiển hệ thống và rò rỉ dữ liệu nhạy cảm.

Ưu tiên cập nhật bản vá và tuân thủ các hướng dẫn bảo mật là cực kỳ cần thiết để bảo vệ hạ tầng công nghệ thông tin.

Để biết thêm thông tin về các chỉ thị khẩn cấp của CISA, quý độc giả có thể tham khảo tại: CISA Emergency Directives.