-
09/04/2020
-
141
-
2.013 bài viết
Cảnh báo lỗ hổng Microsoft SharePoint đang bị khai thác, yêu cầu khẩn trương vá lỗi
CISA vừa đưa một lỗ hổng nghiêm trọng trong Microsoft SharePoint Server vào danh sách KEV sau khi ghi nhận bằng chứng cho thấy lỗ hổng này đã bị khai thác trong thực tế. Động thái này đồng nghĩa với việc các tổ chức đang sử dụng SharePoint Server cần nhanh chóng cập nhật bản vá để giảm nguy cơ bị tấn công từ xa.
Song song với cảnh báo từ CISA, Microsoft cũng công bố kết quả điều tra một vụ tấn công ransomware cho thấy có tới hai nhóm tin tặc khác nhau hoạt động đồng thời trong cùng một hệ thống, sử dụng nhiều kỹ thuật tinh vi nhằm duy trì quyền truy cập và gây khó khăn cho công tác điều tra, ứng phó sự cố.
Lỗ hổng SharePoint vừa bị đưa vào danh sách KEV là gì?
Lỗ hổng được theo dõi với mã CVE-2026-45659, có điểm CVSS 8,8/10, được đánh giá ở mức nghiêm trọng cao (High Severity).
Theo Microsoft, nguyên nhân của lỗ hổng xuất phát từ việc xử lý dữ liệu được tuần tự hóa (deserialization) không đáng tin cậy, tạo điều kiện cho kẻ tấn công thực thi mã từ xa (RCE) trên máy chủ SharePoint.
Điểm đáng chú ý là cuộc tấn công không yêu cầu quyền quản trị hệ thống. Chỉ cần một tài khoản đã được xác thực với quyền tối thiểu ở mức Site Member, kẻ tấn công đã có thể gửi yêu cầu qua mạng để thực thi mã trên máy chủ SharePoint.
Microsoft đã phát hành bản vá cho lỗ hổng này từ tháng 5/2026, áp dụng cho các phiên bản:
Theo Microsoft, nguyên nhân của lỗ hổng xuất phát từ việc xử lý dữ liệu được tuần tự hóa (deserialization) không đáng tin cậy, tạo điều kiện cho kẻ tấn công thực thi mã từ xa (RCE) trên máy chủ SharePoint.
Điểm đáng chú ý là cuộc tấn công không yêu cầu quyền quản trị hệ thống. Chỉ cần một tài khoản đã được xác thực với quyền tối thiểu ở mức Site Member, kẻ tấn công đã có thể gửi yêu cầu qua mạng để thực thi mã trên máy chủ SharePoint.
Microsoft đã phát hành bản vá cho lỗ hổng này từ tháng 5/2026, áp dụng cho các phiên bản:
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Enterprise Server 2016
Mặc dù trong thông báo ban đầu Microsoft đánh giá khả năng bị khai thác là "Exploitation Less Likely", việc CISA bổ sung lỗ hổng vào danh sách KEV cho thấy các cuộc tấn công thực tế đã xuất hiện.
Hiện vẫn chưa có thông tin công khai về phương thức khai thác cụ thể, nhóm tin tặc đứng sau hay mục tiêu cuối cùng của các cuộc tấn công này.
Hiện vẫn chưa có thông tin công khai về phương thức khai thác cụ thể, nhóm tin tặc đứng sau hay mục tiêu cuối cùng của các cuộc tấn công này.
Vì sao việc bị đưa vào danh sách KEV lại đáng lo ngại?
Danh sách KEV của CISA chỉ bao gồm những lỗ hổng đã có bằng chứng bị khai thác ngoài thực tế. Điều này có nghĩa là rủi ro không còn dừng ở mức lý thuyết mà các hệ thống chưa cập nhật bản vá hoàn toàn có thể trở thành mục tiêu của tin tặc.
Đối với các cơ quan thuộc Federal Civilian Executive Branch (FCEB) của Hoa Kỳ, CISA yêu cầu phải hoàn tất việc vá lỗ hổng trước ngày 4/7/2026 nhằm giảm thiểu nguy cơ bị xâm nhập.
Đối với doanh nghiệp và tổ chức sử dụng SharePoint Server, đây cũng là tín hiệu cho thấy việc trì hoãn cập nhật bản vá có thể khiến hệ thống đối mặt với nguy cơ bị khai thác bất cứ lúc nào.
Đối với các cơ quan thuộc Federal Civilian Executive Branch (FCEB) của Hoa Kỳ, CISA yêu cầu phải hoàn tất việc vá lỗ hổng trước ngày 4/7/2026 nhằm giảm thiểu nguy cơ bị xâm nhập.
Đối với doanh nghiệp và tổ chức sử dụng SharePoint Server, đây cũng là tín hiệu cho thấy việc trì hoãn cập nhật bản vá có thể khiến hệ thống đối mặt với nguy cơ bị khai thác bất cứ lúc nào.
Microsoft phát hiện hai nhóm tin tặc cùng tồn tại trong một hệ thống
Bên cạnh cảnh báo về lỗ hổng SharePoint, Microsoft cũng công bố kết quả điều tra một vụ tấn công ransomware với diễn biến đáng chú ý. Trong quá trình ứng phó sự cố, nhóm Microsoft Incident Response phát hiện hai nhóm tin tặc hoàn toàn độc lập cùng hoạt động trong một môi trường mạng.
Thay vì chỉ có một nhóm ransomware như các vụ việc thông thường, cả hai nhóm đều thiết lập các kênh truy cập riêng, sử dụng công cụ khác nhau và triển khai nhiều kỹ thuật nhằm duy trì quyền kiểm soát hệ thống trong thời gian dài.
Theo Microsoft, điều này khiến việc điều tra trở nên phức tạp hơn rất nhiều vì các dấu vết của hai nhóm tin tặc đan xen, dễ khiến đội ngũ ứng cứu sự cố nhầm lẫn rằng chỉ có một cuộc tấn công duy nhất.
Thay vì chỉ có một nhóm ransomware như các vụ việc thông thường, cả hai nhóm đều thiết lập các kênh truy cập riêng, sử dụng công cụ khác nhau và triển khai nhiều kỹ thuật nhằm duy trì quyền kiểm soát hệ thống trong thời gian dài.
Theo Microsoft, điều này khiến việc điều tra trở nên phức tạp hơn rất nhiều vì các dấu vết của hai nhóm tin tặc đan xen, dễ khiến đội ngũ ứng cứu sự cố nhầm lẫn rằng chỉ có một cuộc tấn công duy nhất.
Storm-2603 lợi dụng lỗ hổng khác để xâm nhập hệ thống
Một trong hai nhóm tấn công được Microsoft xác định là Storm-2603, tác nhân đe dọa đã nhiều lần phát tán ransomware Warlock thông qua việc khai thác các lỗ hổng trên máy chủ SharePoint cài đặt tại chỗ (on-premises).
Trong vụ việc lần này, Microsoft nhận định quá trình xâm nhập ban đầu nhiều khả năng không sử dụng CVE-2026-45659 mà thông qua lỗ hổng:
CVE-2025-11371
CVSS: 9,1/10
Đây là lỗ hổng nghiêm trọng ảnh hưởng đến Gladinet Triofox, một giải pháp chia sẻ và đồng bộ dữ liệu doanh nghiệp.
Trong quá trình điều tra, Microsoft ghi nhận nhiều yêu cầu truy cập tới các tập tin như win.ini và web.config, dấu hiệu thường thấy khi tin tặc dò tìm khả năng khai thác Local File Inclusion (LFI) nhằm mở đường cho việc chiếm quyền điều khiển hệ thống.
Trong vụ việc lần này, Microsoft nhận định quá trình xâm nhập ban đầu nhiều khả năng không sử dụng CVE-2026-45659 mà thông qua lỗ hổng:
CVE-2025-11371
CVSS: 9,1/10
Đây là lỗ hổng nghiêm trọng ảnh hưởng đến Gladinet Triofox, một giải pháp chia sẻ và đồng bộ dữ liệu doanh nghiệp.
Trong quá trình điều tra, Microsoft ghi nhận nhiều yêu cầu truy cập tới các tập tin như win.ini và web.config, dấu hiệu thường thấy khi tin tặc dò tìm khả năng khai thác Local File Inclusion (LFI) nhằm mở đường cho việc chiếm quyền điều khiển hệ thống.
Sau khi xâm nhập, hacker làm gì?
Sau khi có được quyền truy cập ban đầu, Storm-2603 nhanh chóng triển khai nhiều công cụ nhằm duy trì sự hiện diện và tránh bị phát hiện.
Đầu tiên, nhóm này cài đặt Velociraptor. Mặc dù Velociraptor là công cụ điều tra số và phản ứng sự cố hợp pháp, hacker đã lợi dụng chính phần mềm này để ngụy trang các hoạt động độc hại thành các tác vụ quản trị thông thường.
Tiếp theo, nhóm tấn công thiết lập đồng thời nhiều kênh truy cập từ xa, bao gồm:
Đầu tiên, nhóm này cài đặt Velociraptor. Mặc dù Velociraptor là công cụ điều tra số và phản ứng sự cố hợp pháp, hacker đã lợi dụng chính phần mềm này để ngụy trang các hoạt động độc hại thành các tác vụ quản trị thông thường.
Tiếp theo, nhóm tấn công thiết lập đồng thời nhiều kênh truy cập từ xa, bao gồm:
- Cloudflare Tunnel
- Zoho Assist
- Secure Shell (SSH)
- Visual Studio Code Remote Tunnel
Việc duy trì nhiều "đường vào" giúp hacker vẫn có thể quay lại hệ thống ngay cả khi một trong các kênh bị phát hiện và vô hiệu hóa.
Leo thang đặc quyền và vô hiệu hóa phần mềm bảo mật
Sau khi thiết lập quyền truy cập ổn định, Storm-2603 tiếp tục tạo thêm các tài khoản quản trị cục bộ và tài khoản quản trị miền (Domain Administrator) nhằm mở rộng quyền kiểm soát.
Đồng thời, hacker sử dụng trình điều khiển dễ bị tấn công NSecKrnl.sys để can thiệp vào các giải pháp bảo mật trên thiết bị.
Việc lợi dụng một driver tồn tại lỗ hổng giúp tin tặc làm suy yếu khả năng phát hiện của các phần mềm bảo vệ đầu cuối (Endpoint Security), từ đó giảm nguy cơ bị phát hiện trong quá trình triển khai ransomware.
Đồng thời, hacker sử dụng trình điều khiển dễ bị tấn công NSecKrnl.sys để can thiệp vào các giải pháp bảo mật trên thiết bị.
Việc lợi dụng một driver tồn tại lỗ hổng giúp tin tặc làm suy yếu khả năng phát hiện của các phần mềm bảo vệ đầu cuối (Endpoint Security), từ đó giảm nguy cơ bị phát hiện trong quá trình triển khai ransomware.
Một nhóm tin tặc khác cũng âm thầm hoạt động
Điều khiến Microsoft bất ngờ là trong cùng hệ thống này còn tồn tại một nhóm tin tặc khác không liên quan đến Storm-2603.
Nhóm thứ hai sử dụng các kỹ thuật hoàn toàn khác như:
Nhóm thứ hai sử dụng các kỹ thuật hoàn toàn khác như:
- DLL Side-Loading
- Backdoor tùy chỉnh (Custom Backdoor)
Việc hai nhóm tin tặc hoạt động song song khiến quá trình phân tích nhật ký, truy vết nguồn gốc và đánh giá phạm vi ảnh hưởng trở nên khó khăn hơn rất nhiều.
Trong quá trình điều tra mở rộng, Microsoft còn phát hiện các đối tượng đã di chuyển ngang (Lateral Movement) sang một tổ chức khác, cho thấy phạm vi xâm nhập không chỉ giới hạn trong một hệ thống duy nhất.
Trong quá trình điều tra mở rộng, Microsoft còn phát hiện các đối tượng đã di chuyển ngang (Lateral Movement) sang một tổ chức khác, cho thấy phạm vi xâm nhập không chỉ giới hạn trong một hệ thống duy nhất.
Bài học rút ra từ vụ việc
Theo Microsoft, nhiều tổ chức hiện vẫn có xu hướng coi các vụ tấn công ransomware là những sự cố đơn lẻ.
Tuy nhiên, thực tế cho thấy một vụ tấn công có thể bao gồm nhiều nhóm tin tặc khác nhau cùng hoạt động trên một hạ tầng, sử dụng các kỹ thuật và mục tiêu riêng biệt. Điều này đồng nghĩa với việc nếu chỉ xử lý các dấu hiệu bề mặt, đội ngũ an ninh mạng có thể bỏ sót những kênh truy cập khác vẫn còn tồn tại trong hệ thống.
Microsoft nhấn mạnh rằng những gì ban đầu có vẻ chỉ là một vụ ransomware hoàn toàn có thể phát triển thành một chuỗi xâm nhập kéo dài, liên quan đến nhiều tổ chức và nhiều tác nhân đe dọa khác nhau.
Tuy nhiên, thực tế cho thấy một vụ tấn công có thể bao gồm nhiều nhóm tin tặc khác nhau cùng hoạt động trên một hạ tầng, sử dụng các kỹ thuật và mục tiêu riêng biệt. Điều này đồng nghĩa với việc nếu chỉ xử lý các dấu hiệu bề mặt, đội ngũ an ninh mạng có thể bỏ sót những kênh truy cập khác vẫn còn tồn tại trong hệ thống.
Microsoft nhấn mạnh rằng những gì ban đầu có vẻ chỉ là một vụ ransomware hoàn toàn có thể phát triển thành một chuỗi xâm nhập kéo dài, liên quan đến nhiều tổ chức và nhiều tác nhân đe dọa khác nhau.
Các tổ chức cần làm gì?
Trước nguy cơ lỗ hổng SharePoint đã bị khai thác trong thực tế, các chuyên gia khuyến nghị:
- Khẩn trương cập nhật bản vá cho CVE-2026-45659 nếu đang sử dụng SharePoint Server.
- Kiểm tra toàn bộ tài khoản có quyền truy cập SharePoint, đặc biệt là các tài khoản có quyền Site Member trở lên.
- Rà soát nhật ký để phát hiện các hoạt động thực thi mã hoặc truy cập bất thường.
- Kiểm tra sự xuất hiện của các công cụ truy cập từ xa như Cloudflare Tunnel, Zoho Assist hoặc Visual Studio Code Remote Tunnel nếu không được triển khai hợp lệ.
- Giám sát việc tạo mới tài khoản quản trị và các thay đổi bất thường trong Active Directory.
- Thực hiện điều tra toàn diện khi phát hiện ransomware thay vì chỉ tập trung vào một tác nhân duy nhất, bởi có thể tồn tại nhiều nhóm tin tặc đang cùng hoạt động trong hệ thống.