CyberThao
Writer
Microsoft vừa phát hành bản vá bảo mật khẩn cấp cho một lỗ hổng nghiêm trọng trên Microsoft SharePoint Server, đang bị hacker khai thác trong các cuộc tấn công thực tế.
Trong khuyến cáo được công bố ngày 20/7/2025, Microsoft xác nhận có các cuộc tấn công đang diễn ra nhắm vào khách hàng sử dụng SharePoint Server tại chỗ, khai thác lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng – CVE-2025-53770 với điểm CVSS 9,8/10. Đây là lỗi liên quan đến việc hủy tuần tự hóa dữ liệu không đáng tin cậy, cho phép hacker thực thi mã tùy ý trên máy chủ.
Cả hai lỗ hổng trên có liên quan tới hai lỗi đã biết trước đó là CVE-2025-49704 và CVE-2025-49706 – từng được vá trong bản cập nhật Patch Tuesday tháng 7/2025. Chuỗi khai thác tổng hợp các lỗi này được gọi là ToolShell, cho phép hacker thực thi mã từ xa. Microsoft xác nhận bản vá mới cung cấp biện pháp bảo vệ mạnh hơn so với các bản cập nhật trước.
Phát ngôn viên Microsoft nói thêm rằng mô tả trước đó về CVE-2025-53770 như là biến thể của CVE-2025-49706 là không chính xác và họ đang cập nhật lại nội dung, song khẳng định rằng hướng dẫn bảo mật dành cho khách hàng không bị ảnh hưởng bởi sự nhầm lẫn này.
Michael Sikorski – Giám đốc Công nghệ của Đơn vị 42 thuộc Palo Alto Networks – cảnh báo rằng nếu hệ thống SharePoint tại chỗ đang kết nối internet, bạn nên giả định là hệ thống đã bị xâm nhập. Việc chỉ vá lỗi là không đủ. Vì SharePoint tích hợp chặt chẽ với các dịch vụ như Office, Teams, OneDrive và Outlook, nên nguy cơ lan rộng ra toàn bộ hạ tầng là rất cao.
Cơ quan An ninh mạng Hoa Kỳ (CISA) đã thêm CVE-2025-53770 vào danh sách lỗ hổng đã biết (KEV), bắt buộc các cơ quan chính phủ liên bang phải cập nhật bản vá trước ngày 21/7/2025.
Palo Alto Networks gọi đây là một chiến dịch đe dọa quy mô lớn, ảnh hưởng trực tiếp đến các tổ chức y tế, giáo dục, doanh nghiệp và cơ quan chính phủ. Họ khuyến nghị ngắt kết nối máy chủ SharePoint khỏi internet tạm thời nếu chưa thể cập nhật bản vá, nhằm hạn chế thiệt hại.
Trong khuyến cáo được công bố ngày 20/7/2025, Microsoft xác nhận có các cuộc tấn công đang diễn ra nhắm vào khách hàng sử dụng SharePoint Server tại chỗ, khai thác lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng – CVE-2025-53770 với điểm CVSS 9,8/10. Đây là lỗi liên quan đến việc hủy tuần tự hóa dữ liệu không đáng tin cậy, cho phép hacker thực thi mã tùy ý trên máy chủ.
Có thêm lỗ hổng giả mạo khác cũng bị lợi dụng
Ngoài CVE-2025-53770, một lỗi giả mạo khác – CVE-2025-53771 (CVSS: 6,3) – cũng được công bố, do một nhà nghiên cứu ẩn danh phát hiện. Lỗi này cho phép kẻ tấn công được ủy quyền thực hiện hành vi giả mạo thông qua mạng do giới hạn sai đường dẫn đến thư mục bị hạn chế trong SharePoint.Cả hai lỗ hổng trên có liên quan tới hai lỗi đã biết trước đó là CVE-2025-49704 và CVE-2025-49706 – từng được vá trong bản cập nhật Patch Tuesday tháng 7/2025. Chuỗi khai thác tổng hợp các lỗi này được gọi là ToolShell, cho phép hacker thực thi mã từ xa. Microsoft xác nhận bản vá mới cung cấp biện pháp bảo vệ mạnh hơn so với các bản cập nhật trước.
Phát ngôn viên Microsoft nói thêm rằng mô tả trước đó về CVE-2025-53770 như là biến thể của CVE-2025-49706 là không chính xác và họ đang cập nhật lại nội dung, song khẳng định rằng hướng dẫn bảo mật dành cho khách hàng không bị ảnh hưởng bởi sự nhầm lẫn này.
Ai bị ảnh hưởng và cần làm gì?
Các lỗ hổng chỉ ảnh hưởng đến SharePoint Server tại chỗ, không tác động đến SharePoint Online (Microsoft 365). Các phiên bản được cập nhật và đã vá bao gồm:- Microsoft SharePoint Server 2019 (phiên bản 16.0.10417.20027)
- SharePoint Enterprise 2016 (phiên bản 16.0.5508.1000)
- SharePoint Server Subscription Edition
- SharePoint Server 2019 Core
- Một số phiên bản SharePoint Server 2016 khác
- Sử dụng phiên bản SharePoint Server được hỗ trợ
- Áp dụng bản vá bảo mật mới nhất
- Kích hoạt AMSI (Antimalware Scan Interface) ở chế độ đầy đủ để phát hiện và ngăn chặn mã độc
- Sử dụng phần mềm diệt virus tương thích như Defender Antivirus
- Triển khai Microsoft Defender for Endpoint hoặc giải pháp tương đương
- Luân phiên khóa máy ASP.NET sau khi cập nhật, và khởi động lại IIS
Cuộc tấn công đã lan rộng – rủi ro cao
Theo Eye Security, ít nhất 54 tổ chức đã bị tấn công kể từ ngày 18/7, bao gồm ngân hàng, trường đại học và cơ quan chính phủ. Các nhóm tấn công có thể vượt qua cả xác thực đa yếu tố (MFA) và đăng nhập một lần (SSO) để giành quyền truy cập đặc quyền, đánh cắp dữ liệu nhạy cảm, cài đặt cửa hậu và lấy khóa mã hóa.Michael Sikorski – Giám đốc Công nghệ của Đơn vị 42 thuộc Palo Alto Networks – cảnh báo rằng nếu hệ thống SharePoint tại chỗ đang kết nối internet, bạn nên giả định là hệ thống đã bị xâm nhập. Việc chỉ vá lỗi là không đủ. Vì SharePoint tích hợp chặt chẽ với các dịch vụ như Office, Teams, OneDrive và Outlook, nên nguy cơ lan rộng ra toàn bộ hạ tầng là rất cao.
Cơ quan An ninh mạng Hoa Kỳ (CISA) đã thêm CVE-2025-53770 vào danh sách lỗ hổng đã biết (KEV), bắt buộc các cơ quan chính phủ liên bang phải cập nhật bản vá trước ngày 21/7/2025.
Palo Alto Networks gọi đây là một chiến dịch đe dọa quy mô lớn, ảnh hưởng trực tiếp đến các tổ chức y tế, giáo dục, doanh nghiệp và cơ quan chính phủ. Họ khuyến nghị ngắt kết nối máy chủ SharePoint khỏi internet tạm thời nếu chưa thể cập nhật bản vá, nhằm hạn chế thiệt hại.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview