-
09/04/2020
-
124
-
1.540 bài viết
Microsoft vá khẩn zero-day Office CVE-2026-21509 đang bị khai thác thực tế
Microsoft vừa phát hành bản vá bảo mật ngoài chu kỳ (out-of-band) để khắc phục một lỗ hổng zero-day nghiêm trọng trong Microsoft Office, hiện đã bị tin tặc khai thác trong các cuộc tấn công thực tế. Lỗ hổng được theo dõi với mã CVE-2026-21509, có điểm CVSS 7,8 và được phân loại là lỗi bypass cơ chế bảo mật.
Theo thông báo từ Microsoft, CVE-2026-21509 bắt nguồn từ việc dựa vào dữ liệu không đáng tin cậy trong quá trình đưa ra quyết định bảo mật, cho phép kẻ tấn công vượt qua các lớp phòng thủ sẵn có của Office khi người dùng mở tệp độc hại. Cụ thể, lỗ hổng cho phép bỏ qua các biện pháp giảm thiểu rủi ro liên quan đến OLE, vốn được triển khai nhằm bảo vệ người dùng khỏi các điều khiển COM/OLE tồn tại lỗ hổng trong Microsoft 365 và Microsoft Office.
Trong các kịch bản khai thác CVE-2026-21509, kẻ tấn công chủ yếu dựa vào một tệp Office được dựng sẵn như mồi nhử, buộc người dùng trực tiếp mở tài liệu để kích hoạt hành vi vượt qua cơ chế bảo mật. Microsoft nhấn mạnh rằng lỗ hổng không thể bị khai thác thông qua Preview Pane, qua đó thu hẹp bề mặt tấn công xuống các tình huống có tương tác chủ động từ phía người dùng.
Theo Microsoft, CVE-2026-21509 được xử lý khác nhau tùy phiên bản Office. Các hệ thống sử dụng Office 2021 trở lên đã được bổ sung cơ chế bảo vệ từ phía Microsoft, người dùng chỉ cần khởi động lại ứng dụng Office để kích hoạt. Trông k,hi đó Office 2016 và Office 2019, việc cài đặt các bản cập nhật bảo mật tương ứng là yêu cầu bắt buộc để khắc phục lỗ hổng.
Các phiên bản cập nhật bao gồm:
- Microsoft Office 2019 (32-bit): 16.0.10417.20095
- Microsoft Office 2019 (64-bit): 16.0.10417.20095
- Microsoft Office 2016 (32-bit): 16.0.5539.1001
- Microsoft Office 2016 (64-bit): 16.0.5539.1001
Trong trường hợp chưa thể triển khai bản vá ngay lập tức, Microsoft khuyến nghị áp dụng biện pháp giảm thiểu tạm thời bằng cách chỉnh sửa Windows Registry để vô hiệu hóa các COM/OLE dễ bị khai thác. Quy trình bao gồm việc sao lưu Registry, xác định đúng nhánh khóa tương ứng với kiến trúc Office (MSI hoặc Click-to-Run, 32-bit hoặc 64-bit), tạo khóa COM Compatibility mới với CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} và thiết lập giá trị Compatibility Flags dạng REG_DWORD với giá trị hex 400. Sau khi hoàn tất, người dùng cần khởi động lại Office để các thay đổi có hiệu lực.
Hiện tại, hãng chưa công bố chi tiết kỹ thuật về các chiến dịch đang khai thác CVE-2026-21509, cũng như chưa tiết lộ quy mô và đối tượng bị ảnh hưởng. Trước mức độ ảnh hưởng của lỗ hổng, Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã đưa CVE-2026-21509 vào danh mục Known Exploited Vulnerabilities (KEV), yêu cầu các cơ quan thuộc khối Liên bang Dân sự Hoa Kỳ (FCEB) vá lỗi trước ngày 16/02/2026.
Sự xuất hiện của CVE-2026-21509 cho thấy các tệp Office vẫn là điểm xâm nhập hiệu quả trong các chiến dịch tấn công nhắm vào người dùng cuối, đặc biệt khi khai thác trực tiếp hành vi mở tài liệu. Trong bối cảnh lỗ hổng đã bị khai thác ngoài thực tế, việc cập nhật bản vá đúng thời điểm và đảm bảo các cơ chế bảo vệ trên máy trạm được kích hoạt đầy đủ tiếp tục là yếu tố then chốt để giảm thiểu rủi ro.
Hiện tại, hãng chưa công bố chi tiết kỹ thuật về các chiến dịch đang khai thác CVE-2026-21509, cũng như chưa tiết lộ quy mô và đối tượng bị ảnh hưởng. Trước mức độ ảnh hưởng của lỗ hổng, Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã đưa CVE-2026-21509 vào danh mục Known Exploited Vulnerabilities (KEV), yêu cầu các cơ quan thuộc khối Liên bang Dân sự Hoa Kỳ (FCEB) vá lỗi trước ngày 16/02/2026.
Sự xuất hiện của CVE-2026-21509 cho thấy các tệp Office vẫn là điểm xâm nhập hiệu quả trong các chiến dịch tấn công nhắm vào người dùng cuối, đặc biệt khi khai thác trực tiếp hành vi mở tài liệu. Trong bối cảnh lỗ hổng đã bị khai thác ngoài thực tế, việc cập nhật bản vá đúng thời điểm và đảm bảo các cơ chế bảo vệ trên máy trạm được kích hoạt đầy đủ tiếp tục là yếu tố then chốt để giảm thiểu rủi ro.
Theo The Hacker News