MinhSec
Writer
Một lỗ hổng bảo mật nguy hiểm trong Microsoft Exchange đang khiến hàng chục nghìn máy chủ trên toàn thế giới rơi vào tình trạng báo động đỏ. Lỗ hổng này, mã định danh CVE-2025-53786, ảnh hưởng đến Exchange Server 2016, 2019 và Subscription Edition, đặc biệt nguy hiểm với các hệ thống sử dụng mô hình đám mây lai (hybrid cloud).
Theo các chuyên gia, kẻ tấn công chỉ cần có quyền truy cập vào máy chủ Exchange tại chỗ là có thể leo thang đặc quyền sang môi trường đám mây kết nối, từ đó chiếm quyền kiểm soát toàn bộ mạng lưới. Điều này khiến việc phát hiện xâm nhập trở nên cực kỳ khó khăn. Mặc dù chưa ghi nhận cuộc tấn công nào được xác nhận, giới bảo mật tin rằng mã khai thác đã được phát triển, biến đây thành “miếng mồi” hấp dẫn cho tội phạm mạng.
CISA phát lệnh khẩn hơn 29.000 máy chủ vẫn chưa được vá
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành Chỉ thị Khẩn, yêu cầu tất cả cơ quan liên bang vá lỗi trước 9 giờ sáng ngày 11/8 (giờ miền Đông Mỹ). Quyền Giám đốc CISA, Madhu Gottumukkala, cảnh báo rằng dù chỉ thị áp dụng cho cơ quan nhà nước, mọi tổ chức sử dụng Exchange đều phải khẩn trương thực hiện biện pháp tương tự.
Tuy vậy, dữ liệu từ nền tảng Shadowserver cho thấy đến ngày 10/8 vẫn còn hơn 29.000 máy chủ chưa được cập nhật bản vá. Mỹ dẫn đầu với hơn 7.200 máy chủ dễ bị tấn công, tiếp theo là Đức (6.700) và Nga (2.500).
Microsoft đã phát hành bản sửa lỗi nhanh cùng hướng dẫn bảo mật, khuyến cáo tất cả tổ chức cập nhật ngay. Với hệ thống cũ, giải pháp an toàn nhất là ngắt kết nối khỏi internet. Nếu chậm trễ, kẻ tấn công có thể dễ dàng thâm nhập từ hạ tầng tại chỗ sang đám mây, gây nguy hiểm cho toàn bộ dữ liệu và dịch vụ.
Martin Jartelius, Giám đốc Công nghệ tại Outpost24, nhận định: “Số lượng máy chủ chưa được vá nhiều đến mức đáng lo, nhưng không bất ngờ. Nhiều đơn vị vẫn vận hành hệ thống cũ, thiếu bảo trì, và nghĩ rằng mình an toàn. Thực tế, để một lỗ hổng đã biết tồn tại chính là gửi lời mời cho tin tặc.”
hackread.com
Theo các chuyên gia, kẻ tấn công chỉ cần có quyền truy cập vào máy chủ Exchange tại chỗ là có thể leo thang đặc quyền sang môi trường đám mây kết nối, từ đó chiếm quyền kiểm soát toàn bộ mạng lưới. Điều này khiến việc phát hiện xâm nhập trở nên cực kỳ khó khăn. Mặc dù chưa ghi nhận cuộc tấn công nào được xác nhận, giới bảo mật tin rằng mã khai thác đã được phát triển, biến đây thành “miếng mồi” hấp dẫn cho tội phạm mạng.
CISA phát lệnh khẩn hơn 29.000 máy chủ vẫn chưa được vá
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành Chỉ thị Khẩn, yêu cầu tất cả cơ quan liên bang vá lỗi trước 9 giờ sáng ngày 11/8 (giờ miền Đông Mỹ). Quyền Giám đốc CISA, Madhu Gottumukkala, cảnh báo rằng dù chỉ thị áp dụng cho cơ quan nhà nước, mọi tổ chức sử dụng Exchange đều phải khẩn trương thực hiện biện pháp tương tự.
Tuy vậy, dữ liệu từ nền tảng Shadowserver cho thấy đến ngày 10/8 vẫn còn hơn 29.000 máy chủ chưa được cập nhật bản vá. Mỹ dẫn đầu với hơn 7.200 máy chủ dễ bị tấn công, tiếp theo là Đức (6.700) và Nga (2.500).
Microsoft đã phát hành bản sửa lỗi nhanh cùng hướng dẫn bảo mật, khuyến cáo tất cả tổ chức cập nhật ngay. Với hệ thống cũ, giải pháp an toàn nhất là ngắt kết nối khỏi internet. Nếu chậm trễ, kẻ tấn công có thể dễ dàng thâm nhập từ hạ tầng tại chỗ sang đám mây, gây nguy hiểm cho toàn bộ dữ liệu và dịch vụ.
Martin Jartelius, Giám đốc Công nghệ tại Outpost24, nhận định: “Số lượng máy chủ chưa được vá nhiều đến mức đáng lo, nhưng không bất ngờ. Nhiều đơn vị vẫn vận hành hệ thống cũ, thiếu bảo trì, và nghĩ rằng mình an toàn. Thực tế, để một lỗ hổng đã biết tồn tại chính là gửi lời mời cho tin tặc.”
Over 29,000 Unpatched Microsoft Exchange Servers Leaving Networks at Risk
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview