Máy chủ Exchange (Microsoft Exchange Server) là một phần mềm máy chủ được phát triển bởi Microsoft, dùng để quản lý email, lịch, danh bạ và các thông tin liên lạc khác trong một tổ chức hoặc doanh nghiệp. Nó cho phép người dùng gửi, nhận, lưu trữ email, chia sẻ lịch làm việc và quản lý thông tin liên lạc một cách hiệu quả, đồng thời hỗ trợ làm việc trên nhiều thiết bị.

Lỗ hổng bảo mật được theo dõi là CVE-2025-53786, cho phép kẻ tấn công có quyền truy cập quản trị vào máy chủ Exchange tại khu vực leo thang đặc quyền trong môi trường đám mây được kết nối của tổ chức bằng cách giả mạo hoặc thao túng các mã thông báo hoặc lệnh gọi giao diện lập trình ứng dụng (API) đáng tin cậy, mà không để lại dấu vết dễ bị phát hiện và gây khó khăn cho việc phát hiện khai thác.

Lỗ hổng CVE-2025-53786 ảnh hưởng đến các máy chủ như Exchange Server 2016, Exchange Server 2019 và Microsoft Exchange Server Subscription Edition, phiên bản thay thế mô hình cấp phép vĩnh viễn bằng mô hình đăng ký, trong các cấu hình kết hợp.

Lỗ hổng này được tiết lộ sau khi Microsoft phát hành hướng dẫn và bản sửa lỗi nóng cho máy chủ Exchange vào tháng 4/2025 như một phần của Sáng kiến tương lai an toàn, hỗ trợ kiến trúc mới sử dụng ứng dụng lai chuyên dụng thay thế danh tính chia sẻ không an toàn trước đây được sử dụng bởi Exchange Server và Exchange Online tại chỗ.

Mặc dù Tập đoàn đa quốc gia có trụ sở tại Redmond, Hoa Kỳ (Microsoft) này vẫn chưa tìm thấy bằng chứng về việc bị lạm dụng trong các cuộc tấn công, thì lỗ hổng vẫn được gắn thẻ là "Khả năng khai thác cao hơn", vì các chuyên gia hàng đầu của hãng cho rằng, mã khai thác cho phép khai thác liên tục có thể được phát triển, làm tăng sức hấp dẫn đối với kẻ tấn công.

Theo kết quả quét từ nền tảng giám sát mối đe dọa bảo mật Shadowserver, hơn 29.000 máy chủ Exchange vẫn chưa được vá để chống lại các cuộc tấn xuất phát từ lỗ hổng CVE-2025-53786 tiềm ẩn.

Trong tổng số 29.098 máy chủ chưa được vá và được phát hiện vào ngày 10/8 vừa qua, hơn 7.200 địa chỉ IP đã được tìm thấy ở Hoa Kỳ, hơn 6.700 ở Đức và hơn 2.500 ở Nga.

Các cơ quan liên bang nhận được lệnh giảm thiểu rủi ro

Một ngày sau khi Microsoft tiết lộ về lỗ hổng bảo mật này, Cơ quan An ninh mạng và Cơ sở hạ tầng của Mỹ (CISA) đã ban hành Chỉ thị khẩn cấp 25-02, yêu cầu tất cả các cơ quan thuộc Chi nhánh Hành pháp dân sự liên bang (FCEB), bao gồm Bộ An ninh Nội địa, Bộ Tài chính và Bộ Năng lượng, phải giảm thiểu lỗ hổng Microsoft Exchange nghiêm trọng vào thứ Hai tuần này.

Các cơ quan liên bang phải giảm thiểu rủi ro bằng cách kiểm kê môi trường Exchange của họ trước tiên bằng tập lệnh Kiểm tra Sức khỏe của Microsoft và ngắt kết nối các máy chủ công cộng khi không còn được hỗ trợ bởi bản vá nóng tháng 4/2025 khỏi Internet, chẳng hạn như các phiên bản Exchange Server đã hết vòng đời (EOL) hoặc kết thúc dịch vụ.

Tất cả các máy chủ còn lại phải được cập nhật lên các bản cập nhật tích lũy mới nhất (CU14 hoặc CU15 cho Exchange 2019 và CU23 cho Exchange 2016) và vá bằng bản vá nóng tháng 4 của Microsoft.

Trong một khuyến cáo riêng được ban hành hôm thứ Năm tuần trước, cơ quan an ninh mạng Hoa Kỳ cảnh báo rằng, việc không giảm thiểu CVE-2025-53786 có thể dẫn đến "xâm phạm toàn bộ tên miền tại chỗ và đám mây lai".

Mặc dù các tổ chức phi chính phủ không bắt buộc phải hành động theo Chỉ thị Khẩn cấp 25-02, CISA khuyến cáo tất cả các tổ chức thực hiện các biện pháp tương tự để bảo vệ hệ thống của họ khỏi các cuộc tấn

"Những rủi ro liên quan đến lỗ hổng Microsoft Exchange này mở rộng đến mọi tổ chức và lĩnh vực sử dụng môi trường này", Quyền Giám đốc CISA Madhu Gottumukkala cho biết.

"Mặc dù các cơ quan liên bang được yêu cầu, chúng tôi đặc biệt khuyến cáo tất cả các tổ chức áp dụng các hành động trong Chỉ thị Khẩn cấp này."

Hà Linh