Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Đằng sau lỗ hổng nghiêm trọng đang bị khai thác tích cực trên Microsoft Sharepoint

09:58 | 25/07/2025
ĐT

Một chuỗi lỗ hổng bảo mật nghiêm trọng trên Microsoft SharePoint đang bị tin tặc khai thác trong các cuộc tấn công, thực tế đã được các chuyên gia của Công ty TNHH MTV An ninh mạng Viettel (Viettel Cyber Security - VCS) phát hiện và báo cáo tới Microsoft trước đó.

Theo thông báo từ Microsoft, chuỗi lỗ hổng bảo mật nghiêm trọng chỉ ảnh hưởng đến các máy chủ SharePoint On-premise và không tác động đến SharePoint Online trên Microsoft 365. SharePoint hiện là nền tảng cộng tác tài liệu phổ biến được các tổ chức và doanh nghiệp toàn cầu sử dụng. Đáng lưu ý, chuỗi lỗ hổng bảo mật nghiêm trọng này đã được các chuyên gia VCS phát hiện từ ngày 16/05/2025.

Tại cuộc thi Pwn2Own Berlin 2025, chuyên gia Đinh Hồ Anh Khoa - thành viên đội nghiên cứu chuyên sâu của VCS đã phát hiện và khai thác thành công chuỗi lỗ hổng cho phép vượt qua xác thực và lỗi giải tuần tự không an toàn để giành quyền truy cập mà không cần xác thực vào Microsoft SharePoint. Phát hiện này giúp anh đạt giải thưởng 100.000 USD.

Sau khi cuộc thi diễn ra, hai lỗ hổng bảo mật này được định danh chính thức là CVE-2025-49704 và CVE-2025-49706.

Zero Day Initiative xác nhận lỗ hổng do chuyên gia của VCS phát hiện tại cuộc thi Pwn2Own Berlin 2025

VCS đã gửi báo cáo chi tiết về các lỗ hổng này tới Microsoft và Trend Micro’s Zero Day Initiative (ZDI) theo quy trình chuẩn quốc tế. Ngày 08/07/2025, Microsoft công bố bản vá chính thức trong bản cập nhật Patch Tuesday tháng 7.

Ngay sau đó, hệ thống cập nhật tri thức an ninh mạng - Viettel Threat Intelligence của VCS đã phát đi cảnh báo về các lỗ hổng nghiêm trọng này, đồng thời cung cấp hướng dẫn giúp khách hàng giảm thiểu nguy cơ bị tấn công và tăng cường phòng thủ hệ thống.

Đến ngày 19/7/2025, trong thông báo chính thức từ Microsoft, các cuộc tấn công có chủ đích đã được ghi nhận nhắm vào máy chủ SharePoint on-premises, khai thác các lỗ hổng được vá một phần trong bản cập nhật Patch Tuesday tháng 7. Chuỗi khai thác này được định danh là CVE-2025-53770 và CVE-2025-53771. Để khắc phục, Microsoft đã phát hành bản cập nhật bảo mật bổ sung nhằm “bảo vệ toàn diện cho tất cả các phiên bản SharePoint đang được hỗ trợ bị ảnh hưởng bởi CVE-2025-53770 và CVE-2025-53771”.

Ngay sau công bố chính thức của Microsoft, các chuyên gia xác nhận rằng lỗ hổng hiện đang bị khai thác trên diện rộng. Các hoạt động khai thác được ghi nhận trên những máy chủ chưa kịp áp dụng bản vá Patch Tuesday.

Khuyến nghị từ Viettel Cyber Security

Đây không phải là lần đầu tiên VCS phát hiện và công bố lỗ hổng bảo mật nghiêm trọng tới các tập đoàn công nghệ toàn cầu thông qua chương trình ZDI (Zero Day Initiative). VCS đã công bố đúng quy trình và có trách nhiệm nhiều lỗ hổng bảo mật có ảnh hưởng lớn trong các sản phẩm của Microsoft, Oracle, HP, Canon, Synology, QNAP Systems, Nvidia,… giúp các hãng kịp thời vá lỗi trước khi bị khai thác.

VCS luôn mong muốn củng cố sức mạnh cho cộng đồng an toàn thông tin, giúp các tổ chức nắm rõ thông tin về lỗ hổng bảo mật và chủ động triển khai biện pháp phòng ngừa, ngăn chặn các cuộc tấn công mạng.

Đối với các lỗ hổng này, VCS khuyến cáo các tổ chức cần hành động ngay lập tức để ngăn ngừa nguy cơ bị xâm nhập và bảo vệ hạ tầng trọng yếu của mình. Bản hướng dẫn chi tiết để bảo vệ hệ thống khỏi các lỗ hổng CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 và CVE-2025-53771, bao gồm: chiến lược phòng ngừa, phương pháp nhận diện và kỹ thuật truy vết mối đe dọa. Quý độc giả quan tâm vui lòng xem chi tiết tại đây.

Đối với các phiên bản SharePoint được hỗ trợ (2016, 2019 và Subscription Edition):

- Triển khai ngay bản cập nhật Patch Tuesday tháng 7/2025 của Microsoft, vá các lỗ hổng CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 và CVE-2025-53771.

- Xoay vòng khóa bảo mật machineKey để vô hiệu hóa các ViewState payload độc hại đã được tạo từ khóa cũ.

- Kích hoạt tính năng Antimalware Scan Interface (AMSI) trên các máy chủ SharePoint.

- Giới hạn truy cập Internet trực tiếp từ các máy chủ SharePoint (trừ khi thực sự cần thiết), để giảm nguy cơ dữ liệu bị rò rỉ hoặc tải mã độc.

- Thiết lập WAF hoặc reverse proxy để lọc sớm các request độc hại.

Đối với các phiên bản SharePoint không còn được hỗ trợ (2010, 2013):

- Lên kế hoạch nâng cấp lên phiên bản được hỗ trợ để tiếp tục nhận các bản vá bảo mật.

- Trong thời gian chờ nâng cấp, cần tạm thời áp dụng giải pháp chặn kỹ thuật: Thiết lập rule trên firewall, WAF hoặc reverse proxy để chặn toàn bộ request đến /ToolPane[.]aspx và các biến thể có chứa pathInfo và các request POST đáng ngờ.

- Giám sát nghiêm ngặt log hệ thống và các file được ghi vào thư mục /LAYOUTS/, do đây là vị trí thường bị tin tặc sử dụng để tải shell hoặc mã độc.

- Ngắt kết nối Internet khỏi các máy chủ SharePoint nếu chỉ dùng nội bộ, nhằm giảm thiểu khả năng bị tấn công từ bên ngoài.

- Tăng cường giám sát bằng EDR hoặc phần mềm chống virus, tập trung vào các hành vi như: thực thi PowerShell, lệnh bất thường, kết nối IP đáng ngờ.

Để hỗ trợ các tổ chức phát hiện sớm các cuộc tấn công liên quan ToolShell, hệ thống Viettel Threat Intelligence khuyến nghị:

- Triển khai chiến lược phòng thủ nhiều lớp, kết hợp IDS/IPS, WAF, EDR và giám sát log định kỳ.

- Đội ngũ an ninh cần kiểm tra dấu hiệu xâm nhập bằng cách phân tích log IIS và theo dõi các thay đổi trong thư mục /LAYOUTS/ và /bin/.

- Toàn bộ hướng dẫn chi tiết về nhận diện và truy vết mối đe dọa đã được trình bày trong báo cáo kỹ thuật của VCS.

Mặt khác, Chuyên gia Đinh Hồ Anh Khoa - thành viên đội nghiên cứu chuyên sâu của VCS đã công bố bài viết kỹ thuật chuyên sâu về lỗ hổng CVE-2025-49704 và CVE-2025-49706 nhằm cung cấp thêm thông tin nghiên cứu về lỗ hổng này (Chi tiết tại đây).

Twitter Zalo Facebook YouTube Copy Link QR Code
CVE-2025-53771 VIETTEL CYBER SECURITY PWN2OWN CVE-2025-53770 SHAREPOINT CVE-2025-49706 MICROSOFT CVE-2025-49704
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết