Khẩn cấp: Lỗ hổng CVE RCE nguy hiểm trong Microsoft Outlook

Microsoft đã phát hành bản vá bảo mật cho một lỗ hổng CVE thực thi mã từ xa (RCE) nghiêm trọng trong Outlook, cho phép kẻ tấn công thực thi mã độc hại trên các hệ thống dễ bị tổn thương. Lỗ hổng này, được theo dõi với mã định danh CVE-2025-62562, đã được công bố vào ngày 9 tháng 12 năm 2025, yêu cầu sự chú ý khẩn cấp từ các quản trị viên IT và người dùng cuối.

Chi tiết Lỗ hổng CVE-2025-62562 trong Microsoft Outlook

Lỗ hổng CVE-2025-62562 bắt nguồn từ một điểm yếu use-after-free trong Microsoft Office Outlook. Điểm yếu use-after-free xảy ra khi một chương trình cố gắng truy cập vào vùng bộ nhớ đã được giải phóng và sau đó được cấp phát lại cho mục đích khác. Điều này có thể dẫn đến hành vi không mong muốn, bao gồm thực thi mã tùy ý hoặc gây ra các lỗi bộ nhớ khác, tạo điều kiện cho kẻ tấn công kiểm soát hệ thống bị ảnh hưởng.

Theo phân loại lỗ hổng của Microsoft, điểm yếu này được đánh giá là Quan trọng (Important) với điểm CVSS 7.8. Mặc dù không đạt mức Nghiêm trọng (Critical) theo thang điểm CVSS tuyệt đối, mức độ quan trọng này vẫn chỉ ra rủi ro đáng kể đối với an toàn thông tin của người dùng và tổ chức.

Cơ chế khai thác và Yêu cầu Tương tác Người dùng

Vectơ tấn công của lỗ hổng CVE-2025-62562 là cục bộ, điều này có nghĩa là kẻ tấn công cần phải thuyết phục người dùng tương tác với một email độc hại để kích hoạt việc khai thác. Cụ thể, kẻ tấn công gửi một email được tạo thủ công (crafted email) nhằm lừa người dùng phản hồi. Hành động phản hồi email này sẽ kích hoạt chuỗi thực thi mã.

Điểm khác biệt của lỗ hổng này so với các remote code execution thông thường là yêu cầu tương tác cục bộ trên máy của nạn nhân. Ngăn xem trước (Preview Pane) không phải là vectơ tấn công cho lỗ hổng này. Thay vào đó, kẻ tấn công cần người dùng tự nguyện phản hồi lại một email được thiết kế đặc biệt để khai thác điểm yếu.

Yêu cầu tương tác này làm tăng thêm một lớp khó khăn cho việc khai thác. Tuy nhiên, nó vẫn là một mối đe dọa thực tế trong các kịch bản đời thực, nơi các kỹ thuật tấn công phi kỹ thuật (social engineering) có thể được sử dụng để thuyết phục người dùng phản hồi tin nhắn.

Các phiên bản Microsoft Office bị ảnh hưởng

Lỗ hổng CVE-2025-62562 ảnh hưởng đến nhiều phiên bản Microsoft Office, bao gồm:

• Microsoft Word 2016 (cả phiên bản 32-bit và 64-bit)
• Các phiên bản Microsoft Office LTSC từ năm 2019 đến 2024
• Microsoft 365 Apps for Enterprise
• Microsoft Office 2019
• Các sản phẩm Microsoft SharePoint Server

Giải pháp và Khuyến nghị Bản vá Bảo mật

Microsoft đã cung cấp bản vá bảo mật cho hầu hết các phiên bản bị ảnh hưởng. Ví dụ, bản cập nhật cho Word 2016 có số hiệu bản dựng 16.0.5530.1000. Các bản vá này có sẵn thông qua Windows Update và Microsoft Download Center. Tuy nhiên, các bản cập nhật cho Microsoft Office LTSC for Mac 2021 và 2024 hiện chưa có sẵn và sẽ được phát hành trong thời gian sớm nhất.

Microsoft khuyến nghị các tổ chức nên ưu tiên cài đặt các bản vá bảo mật có sẵn trên tất cả các phiên bản Microsoft Office bị ảnh hưởng. Các quản trị viên hệ thống đang quản lý nhiều hệ thống cần triển khai các bản vá trên cả phiên bản 32-bit và 64-bit theo tiêu chuẩn triển khai của họ. Để biết thêm thông tin chi tiết về các bản cập nhật, quản trị viên nên tham khảo hướng dẫn bảo mật của Microsoft.

Đối với các hệ thống chưa có bản vá ngay lập tức, Microsoft khuyến nghị người dùng hết sức thận trọng với các email không mong muốn và tránh phản hồi các tin nhắn đáng ngờ. Việc này là một biện pháp phòng ngừa quan trọng để giảm thiểu rủi ro bị khai thác thông qua lỗ hổng CVE này.

Phát hiện và Tình trạng Khai thác

Cộng đồng bảo mật ghi nhận ông Haifei Li từ EXPMON đã phát hiện và báo cáo lỗ hổng CVE-2025-62562 này thông qua quy trình công bố phối hợp. Tính đến thời điểm hiện tại, không có bằng chứng nào về việc khai thác tích cực hoặc công bố công khai mã khai thác (exploit code) liên quan đến lỗ hổng CVE này. Điều này nhấn mạnh tầm quan trọng của việc triển khai bản vá bảo mật kịp thời để ngăn chặn các cuộc tấn công tiềm tàng.

Việc theo dõi và áp dụng các bản vá bảo mật là yếu tố then chốt để duy trì an toàn thông tin và bảo vệ hệ thống khỏi các mối đe dọa thực thi mã từ xa (remote code execution) như CVE-2025-62562.