-
09/04/2020
-
109
-
977 bài viết
Chuỗi lỗ hổng SharePoint bị khai thác, nguy cơ toàn cầu tăng vọt
Microsoft vừa phát cảnh báo bảo mật khẩn cấp sau khi phát hiện chiến dịch tấn công có chủ đích nhắm vào hệ thống SharePoint Server on-premises, bắt đầu từ ngày 7/7/2025. Ba nhóm tin tặc Trung Quốc gồm Linen Typhoon, Violet Typhoon và Storm-2603 bị xác định đứng sau hoạt động khai thác. Các cuộc tấn công tận dụng chuỗi lỗ hổng nghiêm trọng cho phép vượt qua xác thực, thực thi mã từ xa và chiếm quyền kiểm soát hệ thống nội bộ.
Bốn lỗ hổng được khai thác trong đợt tấn công gồm:
Microsoft ghi nhận kẻ tấn công gửi các yêu cầu POST tới endpoint ToolPane để trinh sát, sau đó tải lên web shell độc hại như spinstall.aspx, spinstall0.aspx, spinstall1.aspx và spinstall2.aspx. Các shell này chứa lệnh thu thập dữ liệu MachineKey thông qua GET, cho phép đánh cắp thông tin xác thực ASP.NET nhằm mở rộng phạm vi kiểm soát hệ thống.
Trong số các lỗ hổng, CVE-2025-53771 thuộc loại xác thực sai (CWE-287) cho phép các tài khoản đã xác thực thực hiện spoofing trong môi trường mạng nội bộ. Đáng chú ý, lỗ hổng này có thể được liên kết với CVE-2025-49704 để tạo thành chuỗi tấn công phức tạp, từ đó chiếm quyền điều khiển hệ thống ở mức sâu hơn và duy trì truy cập lâu dài. Bề mặt tấn công khi các lỗ hổng được kết hợp ngày càng phức tạp và khó phát hiện, tạo rủi ro nghiêm trọng cho các tổ chức doanh nghiệp.
Trước mức độ nghiêm trọng và khả năng lan rộng của chuỗi tấn công, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm ngăn chặn nguy cơ bị khai thác trong thực tế:
Để bảo vệ hệ thống trước làn sóng tấn công này, Microsoft khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ sau:
Hiện chưa có dấu hiệu ransomware trực tiếp liên quan đến chuỗi lỗ hổng này. Tuy nhiên, theo các chuyên gia WhiteHat, sự kết hợp giữa khả năng vượt qua xác thực (authentication bypass) và chiếm quyền thực thi từ xa (RCE) đã tạo ra một “tấm thảm đỏ” cho các nhóm mã độc tống tiền. Những lỗ hổng kiểu này cho phép tin tặc dễ dàng xâm nhập, mã hóa dữ liệu quan trọng và giữ hệ thống làm con tin mà không cần phải vượt qua nhiều lớp bảo mật phức tạp.
Microsoft đánh giá: các nhóm tấn công APT sẽ sớm tích hợp chuỗi lỗ hổng này vào bộ công cụ tấn công của mình, nguy cơ lan rộng là rõ ràng, đặc biệt với những tổ chức chưa kịp vá hệ thống. Chuyên gia WhiteHat cảnh báo: “Không hành động ngay lúc này chẳng khác nào mời kẻ tấn công vào thẳng trung tâm dữ liệu. Lúc đó, không chỉ là web shell, mà có thể là cả một chiến dịch mã hóa, đòi chuộc, và đánh cắp dữ liệu ở cấp độ sâu hơn.”
Việc cập nhật bản vá không còn là lựa chọ, đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào.
Bốn lỗ hổng được khai thác trong đợt tấn công gồm:
- CVE-2025-49706 (spoofing): cho phép kẻ tấn công giả mạo danh tính người dùng hợp pháp trong quá trình xác thực
- CVE-2025-49704 (remote code execution): cho phép thực thi mã từ xa trên máy chủ SharePoint mục tiêu
- CVE-2025-53770 (ToolShell Auth Bypass và RCE): cho phép truy cập trái phép vào môi trường dòng lệnh ToolShell và thực thi mã độc mà không cần xác thực
- CVE-2025-53771 (ToolShell Path Traversal): cho phép truy cập và chỉnh sửa các tập tin nhạy cảm trên hệ thống bằng cách vượt qua giới hạn thư mục thông thường
Microsoft ghi nhận kẻ tấn công gửi các yêu cầu POST tới endpoint ToolPane để trinh sát, sau đó tải lên web shell độc hại như spinstall.aspx, spinstall0.aspx, spinstall1.aspx và spinstall2.aspx. Các shell này chứa lệnh thu thập dữ liệu MachineKey thông qua GET, cho phép đánh cắp thông tin xác thực ASP.NET nhằm mở rộng phạm vi kiểm soát hệ thống.
Trong số các lỗ hổng, CVE-2025-53771 thuộc loại xác thực sai (CWE-287) cho phép các tài khoản đã xác thực thực hiện spoofing trong môi trường mạng nội bộ. Đáng chú ý, lỗ hổng này có thể được liên kết với CVE-2025-49704 để tạo thành chuỗi tấn công phức tạp, từ đó chiếm quyền điều khiển hệ thống ở mức sâu hơn và duy trì truy cập lâu dài. Bề mặt tấn công khi các lỗ hổng được kết hợp ngày càng phức tạp và khó phát hiện, tạo rủi ro nghiêm trọng cho các tổ chức doanh nghiệp.
Trước mức độ nghiêm trọng và khả năng lan rộng của chuỗi tấn công, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm ngăn chặn nguy cơ bị khai thác trong thực tế:
- KB5002768 cho SharePoint Server Subscription Edition
- KB5002754 và KB5002753 cho SharePoint Server 2019
- KB5002760 và KB5002759 cho SharePoint Server 2016
Để bảo vệ hệ thống trước làn sóng tấn công này, Microsoft khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ sau:
- Kích hoạt AMSI ở chế độ Full Mode để phát hiện mã độc ẩn sâu trong tiến trình máy chủ và ngăn chặn từ sớm các hành vi thực thi trái phép
- Trang bị Microsoft Defender Antivirus và đảm bảo cập nhật định kỳ, giúp nhận diện và loại bỏ các web shell như spinstall.aspx mà tin tặc đang sử dụng
- Xoay vòng khóa xác thực ASP.NET (machine key) để vô hiệu hóa quyền truy cập mà kẻ tấn công có thể đã giành được bằng cách đánh cắp khóa cũ
- Khởi động lại dịch vụ IIS bằng lệnh iisreset.exe nhằm áp dụng các thay đổi bảo mật và loại bỏ phiên làm việc độc hại còn tồn tại trong bộ nhớ
Hiện chưa có dấu hiệu ransomware trực tiếp liên quan đến chuỗi lỗ hổng này. Tuy nhiên, theo các chuyên gia WhiteHat, sự kết hợp giữa khả năng vượt qua xác thực (authentication bypass) và chiếm quyền thực thi từ xa (RCE) đã tạo ra một “tấm thảm đỏ” cho các nhóm mã độc tống tiền. Những lỗ hổng kiểu này cho phép tin tặc dễ dàng xâm nhập, mã hóa dữ liệu quan trọng và giữ hệ thống làm con tin mà không cần phải vượt qua nhiều lớp bảo mật phức tạp.
Microsoft đánh giá: các nhóm tấn công APT sẽ sớm tích hợp chuỗi lỗ hổng này vào bộ công cụ tấn công của mình, nguy cơ lan rộng là rõ ràng, đặc biệt với những tổ chức chưa kịp vá hệ thống. Chuyên gia WhiteHat cảnh báo: “Không hành động ngay lúc này chẳng khác nào mời kẻ tấn công vào thẳng trung tâm dữ liệu. Lúc đó, không chỉ là web shell, mà có thể là cả một chiến dịch mã hóa, đòi chuộc, và đánh cắp dữ liệu ở cấp độ sâu hơn.”
Việc cập nhật bản vá không còn là lựa chọ, đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào.
WhiteHat tổng hợp