Microsoft SharePoint Server dính lỗ hổng Zero-Day nghiêm trọng

Posted on by ASIC Marketing
24
Th7

Microsoft và Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) mới đây đã xác nhận về lỗ hổng zero-day (CVE-2025-53770), một lỗ hổng thực thi mã từ xa (Remote code Execution) nghiêm trọng trong Microsoft SharePoint Server. Lỗ hổng này đang bị khai thác quy mô lớn ngoài thực tế, ảnh hưởng tới hàng chục tổ chức, bao gồm cả các công ty đa quốc gia và cơ quan chính phủ. Đây là một cuộc tấn công có tính kỹ thuật cao, khó phát hiện và có thể gây ra hậu quả nghiêm trọng nếu không được xử lý kịp thời.

Lỗ hổng CVE-2025-53770 là một biến thể nâng cấp của lỗ hổng CVE-2025-49704 (từng được Microsoft vá hồi đầu tháng 7). Tuy nhiên, bản vá trước đó chưa triệt để và đã bị các nhóm tin tặc tìm ra cách vượt qua. Lỗ hổng này khai thác một lỗi trong quá trình “deserialization”, khi SharePoint xử lý dữ liệu đầu vào từ bên ngoài mà không xác thực đầy đủ. Điều này cho phép hacker thực thi mã lệnh tùy ý từ xa mà không cần đăng nhập (unauthenticated RCE).

Quá trình tấn công rất tinh vi:​

  • Tin tặc gửi một yêu cầu độc hại (payload) qua HTTP tới SharePoint, lợi dụng một điểm yếu liên quan đến header HTTP Referer.​
  • Payload này chứa mã độc ASPX dùng PowerShell để ăn cắp MachineKey (bộ khóa mã hóa nội bộ của SharePoint)​
  • Với các khóa này trong tay, kẻ tấn công có thể tạo ra các đoạn mã giả mạo dưới dạng “VIEWSTATE” (một cơ chế ASP.NET dùng để lưu trạng thái giữa các lần gửi/nhận dữ liệu).​
  • Các payload giả mạo này được SharePoint chấp nhận như thật và hacker có thể thực thi bất cứ lệnh gì trên hệ thống, thậm chí duy trì quyền kiểm soát lâu dài, di chuyển sang các hệ thống nội bộ khác mà không bị phát hiện.​
Theo thống kê từ giới chuyên gia:​
  • Ít nhất 85 máy chủ SharePoint đã bị xâm nhập thành công tính đến thời điểm hiện tại.​
  • Các máy chủ này thuộc 29 tổ chức toàn cầu bao gồm cả các doanh nghiệp lớn và cơ quan nhà nước.​
  • Không cần đăng nhập, không cần thao tác từ người dùng, chỉ cần hệ thống tồn tại lỗ hổng và được kết nối internet là hacker đã có thể chiếm quyền điều khiển toàn bộ SharePoint Server từ xa.​
Đặc biệt, Microsoft xác nhận SharePoint Online (trong Microsoft 365) không bị ảnh hưởng, chỉ các hệ thống SharePoint on-premises (tự triển khai tại chỗ) mới bị tấn công.

1753087329043.png

Đây là một lỗ hổng rất nguy hiểm vì:

  • Thực thi mã từ xa không cần xác thực, hacker có thể “chui” vào máy chủ mà không cần mật khẩu.​
  • Ẩn mình rất khéo, lợi dụng các cơ chế nội bộ để giả dạng yêu cầu hợp lệ.​
  • Khó xử lý, vì sau khi bị khai thác, hacker có thể dùng khóa đã ăn cắp để tiếp tục tấn công, ngay cả khi hệ thống đã vá lỗi.​
Hiện tại Microsoft đã phát hành bản vá lỗ hổng cho CVE-2025-53770 và CVE-2025-53771. Người dùng và Doanh nghiệp cần cập nhật ngay. Ngoài ra một số biện pháp có thể áp dụng để giảm thiểu hiệu quả bao gồm:
  • Tắt kết nối internet của SharePoint Server tạm thời.​
  • Kích hoạt tính năng Antimalware Scan Interface (AMSI) có sẵn từ bản cập nhật tháng 9/2023 trở đi.​
  • Cài đặt Microsoft Defender Antivirus và Defender for Endpoint để theo dõi hành vi sau khai thác.​
  • Tăng cường giám sát mạng và nhật ký hệ thống, đặc biệt các truy cập bất thường từ công cụ như PowerShell.​
Lỗ hổng Zero-Day của Microsoft SharePoint lần này là một trường hợp điển hình cho cuộc tấn công zero-day tinh vi, khó phát hiện và khó khắc phục nếu không có chuẩn bị trước.​ Chính vì vậy, Doanh nghiệp và Tổ chức có thể mô phỏng các cuộc tấn công CVE-2025-53770 SharePoint RCE và các lỗ hổng khác bằng cách sử dụng nền tảng Picus Security Validation.
❗ Liên hệ với ASIC Cybersecurity để nhận tư vấn chi tiết về các giải pháp và sản phẩm bảo mật của Picus Security tại Việt Nam!
ASIC Marketing

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *