Microsoft vừa phát hành cảnh báo khẩn về ba lỗ hổng bảo mật nghiêm trọng ảnh hưởng tới Outlook và Word, cho phép tin tặc thực thi mã độc trên máy tính nạn nhân mà gần như không cần quyền truy cập trước đó.
Các lỗ hổng được định danh là CVE-2026-45456, CVE-2026-45458 và CVE-2026-47635. Theo đánh giá ban đầu, cả ba đều có điểm CVSS 8,4/10 thuộc mức “Critical” (nghiêm trọng).
Điều khiến giới an ninh mạng lo ngại là các lỗi này có độ phức tạp khai thác thấp, không yêu cầu đặc quyền quản trị và trong một số trường hợp gần như không cần người dùng thao tác nhiều. Nếu bị khai thác thành công, hacker có thể thực thi mã độc, cài malware hoặc chiếm quyền điều khiển thiết bị.
Theo thông tin được công bố, các lỗ hổng ảnh hưởng trực tiếp tới Microsoft Outlook và Word, hai phần mềm văn phòng được sử dụng rộng rãi nhất thế giới. Điều này khiến phạm vi rủi ro đặc biệt lớn, từ người dùng cá nhân cho tới doanh nghiệp, cơ quan chính phủ và tổ chức tài chính.
Các lỗ hổng được định danh là CVE-2026-45456, CVE-2026-45458 và CVE-2026-47635. Theo đánh giá ban đầu, cả ba đều có điểm CVSS 8,4/10 thuộc mức “Critical” (nghiêm trọng).
Điều khiến giới an ninh mạng lo ngại là các lỗi này có độ phức tạp khai thác thấp, không yêu cầu đặc quyền quản trị và trong một số trường hợp gần như không cần người dùng thao tác nhiều. Nếu bị khai thác thành công, hacker có thể thực thi mã độc, cài malware hoặc chiếm quyền điều khiển thiết bị.
Theo thông tin được công bố, các lỗ hổng ảnh hưởng trực tiếp tới Microsoft Outlook và Word, hai phần mềm văn phòng được sử dụng rộng rãi nhất thế giới. Điều này khiến phạm vi rủi ro đặc biệt lớn, từ người dùng cá nhân cho tới doanh nghiệp, cơ quan chính phủ và tổ chức tài chính.
Dù Microsoft chưa công bố chi tiết kỹ thuật đầy đủ để tránh bị lợi dụng sớm, giới chuyên gia cho rằng các cuộc tấn công có thể xuất hiện dưới dạng email chứa tài liệu độc hại hoặc file Word được chỉnh sửa đặc biệt nhằm kích hoạt lỗi khi mở nội dung.
Trong nhiều năm qua, Outlook và Word luôn là mục tiêu hấp dẫn của các nhóm tấn công mạng do đây là “cửa ngõ” phổ biến nhất để phát tán mã độc qua email lừa đảo. Trước đó, nhiều chiến dịch gián điệp mạng từng lợi dụng các lỗ hổng Outlook để đánh cắp thông tin xác thực hoặc phát tán malware vào hệ thống doanh nghiệp.
Đáng chú ý, loạt lỗ hổng mới được vá trong bối cảnh Microsoft vừa phát hành bản cập nhật Patch Tuesday tháng 6/2026 với tổng cộng 198 lỗ hổng bảo mật được sửa, bao gồm nhiều lỗi zero-day và hàng chục lỗ hổng mức nghiêm trọng.
Các chuyên gia khuyến nghị người dùng và quản trị viên hệ thống cần cập nhật Windows, Office và Microsoft 365 càng sớm càng tốt. Với doanh nghiệp, việc chậm vá lỗi có thể tạo cơ hội cho hacker xâm nhập mạng nội bộ thông qua các email phishing tưởng như vô hại.
Ngoài cập nhật bản vá, người dùng cũng nên:
- Hạn chế mở file Word hoặc tài liệu Office từ email lạ
- Không bật macro nếu không thực sự cần thiết
- Sử dụng phần mềm bảo mật có khả năng phát hiện hành vi bất thường
- Kích hoạt xác thực đa yếu tố (MFA) cho tài khoản Microsoft
Trong bối cảnh các cuộc tấn công qua email ngày càng tinh vi, chỉ một file Word hoặc email Outlook chứa mã độc cũng có thể trở thành điểm khởi đầu cho một vụ xâm nhập toàn bộ hệ thống.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
