-
09/04/2020
-
109
-
981 bài viết
Tấn công SharePoint quy mô lớn: Lộ diện chuỗi lỗi cho phép RCE và bypass xác thực
Microsoft vừa phát cảnh báo bảo mật khẩn cấp sau khi phát hiện chiến dịch tấn công có chủ đích nhắm vào hệ thống SharePoint Server on-premises, bắt đầu từ ngày 7/7/2025. Ba nhóm tin tặc Trung Quốc gồm Linen Typhoon, Violet Typhoon và Storm-2603 bị xác định đứng sau hoạt động khai thác. Các cuộc tấn công tận dụng chuỗi lỗ hổng nghiêm trọng cho phép vượt qua xác thực, thực thi mã từ xa và chiếm quyền kiểm soát hệ thống nội bộ.
Đặc biệt, ngày 18/7/2025, một trong những nạn nhân bị xâm nhập được xác nhận là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Dù chỉ một số hệ thống bị ảnh hưởng và chưa phát hiện rò rỉ dữ liệu mật, vụ việc cho thấy quy mô và mức độ tinh vi của làn sóng tấn công. Microsoft 365 và các hệ thống phòng thủ mạng tiên tiến đã giúp hạn chế thiệt hại, song thông tin này đã khiến cộng đồng an ninh mạng Mỹ đặc biệt cảnh giác.
Bốn lỗ hổng được khai thác trong đợt tấn công gồm:
Microsoft ghi nhận kẻ tấn công gửi các yêu cầu POST tới endpoint ToolPane để trinh sát, sau đó tải lên web shell độc hại như spinstall.aspx, spinstall0.aspx, spinstall1.aspx và spinstall2.aspx. Các shell này chứa lệnh thu thập dữ liệu MachineKey thông qua GET, cho phép đánh cắp thông tin xác thực ASP.NET nhằm mở rộng phạm vi kiểm soát hệ thống.
Trong số các lỗ hổng, CVE-2025-53771 thuộc loại xác thực sai (CWE-287) cho phép các tài khoản đã xác thực thực hiện spoofing trong môi trường mạng nội bộ. Đáng chú ý, lỗ hổng này có thể được liên kết với CVE-2025-49704 để tạo thành chuỗi tấn công phức tạp, từ đó chiếm quyền điều khiển hệ thống ở mức sâu hơn và duy trì truy cập lâu dài. Bề mặt tấn công khi các lỗ hổng được kết hợp ngày càng phức tạp và khó phát hiện, tạo rủi ro nghiêm trọng cho các tổ chức doanh nghiệp.
Trước mức độ nghiêm trọng và khả năng lan rộng của chuỗi tấn công, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm ngăn chặn nguy cơ bị khai thác trong thực tế:
Để bảo vệ hệ thống trước làn sóng tấn công này, Microsoft khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ sau:
Theo các chuyên gia WhiteHat: "Dù chưa ghi nhận dấu hiệu ransomware khai thác trực tiếp chuỗi lỗ hổng này, nhưng việc kết hợp giữa bypass xác thực và thực thi mã từ xa là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu. Chúng tôi nhận định mức độ rủi ro là rất cao, không chỉ vì phạm vi ảnh hưởng mà còn vì tốc độ khai thác tăng mạnh. Một khi công cụ khai thác bị chia sẻ công khai, mọi hệ thống chưa vá sẽ trở thành ‘miếng mồi béo bở’. Càng chậm cập nhật, nguy cơ bị tấn công càng cận kề."
Microsoft đánh giá: các nhóm tấn công APT sẽ sớm tích hợp chuỗi lỗ hổng này vào bộ công cụ tấn công của mình, nguy cơ lan rộng là rõ ràng, đặc biệt với những tổ chức chưa kịp vá hệ thống. Chuyên gia WhiteHat cảnh báo: “Không hành động ngay lúc này chẳng khác nào mời kẻ tấn công vào thẳng trung tâm dữ liệu. Lúc đó, không chỉ là web shell, mà có thể là cả một chiến dịch mã hóa, đòi chuộc và đánh cắp dữ liệu ở cấp độ sâu hơn.”
Việc cập nhật bản vá không còn là lựa chọn, đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào.
Đặc biệt, ngày 18/7/2025, một trong những nạn nhân bị xâm nhập được xác nhận là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Dù chỉ một số hệ thống bị ảnh hưởng và chưa phát hiện rò rỉ dữ liệu mật, vụ việc cho thấy quy mô và mức độ tinh vi của làn sóng tấn công. Microsoft 365 và các hệ thống phòng thủ mạng tiên tiến đã giúp hạn chế thiệt hại, song thông tin này đã khiến cộng đồng an ninh mạng Mỹ đặc biệt cảnh giác.
Bốn lỗ hổng được khai thác trong đợt tấn công gồm:
- CVE-2025-49706 (spoofing): cho phép kẻ tấn công giả mạo danh tính người dùng hợp pháp trong quá trình xác thực
- CVE-2025-49704 (remote code execution): cho phép thực thi mã từ xa trên máy chủ SharePoint mục tiêu
- CVE-2025-53770 (ToolShell Auth Bypass và RCE): cho phép truy cập trái phép vào môi trường dòng lệnh ToolShell và thực thi mã độc mà không cần xác thực
- CVE-2025-53771 (ToolShell Path Traversal): cho phép truy cập và chỉnh sửa các tập tin nhạy cảm trên hệ thống bằng cách vượt qua giới hạn thư mục thông thường
Microsoft ghi nhận kẻ tấn công gửi các yêu cầu POST tới endpoint ToolPane để trinh sát, sau đó tải lên web shell độc hại như spinstall.aspx, spinstall0.aspx, spinstall1.aspx và spinstall2.aspx. Các shell này chứa lệnh thu thập dữ liệu MachineKey thông qua GET, cho phép đánh cắp thông tin xác thực ASP.NET nhằm mở rộng phạm vi kiểm soát hệ thống.
Trong số các lỗ hổng, CVE-2025-53771 thuộc loại xác thực sai (CWE-287) cho phép các tài khoản đã xác thực thực hiện spoofing trong môi trường mạng nội bộ. Đáng chú ý, lỗ hổng này có thể được liên kết với CVE-2025-49704 để tạo thành chuỗi tấn công phức tạp, từ đó chiếm quyền điều khiển hệ thống ở mức sâu hơn và duy trì truy cập lâu dài. Bề mặt tấn công khi các lỗ hổng được kết hợp ngày càng phức tạp và khó phát hiện, tạo rủi ro nghiêm trọng cho các tổ chức doanh nghiệp.
Trước mức độ nghiêm trọng và khả năng lan rộng của chuỗi tấn công, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm ngăn chặn nguy cơ bị khai thác trong thực tế:
- KB5002768 cho SharePoint Server Subscription Edition
- KB5002754 và KB5002753 cho SharePoint Server 2019
- KB5002760 và KB5002759 cho SharePoint Server 2016
Để bảo vệ hệ thống trước làn sóng tấn công này, Microsoft khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ sau:
- Kích hoạt AMSI ở chế độ Full Mode để phát hiện mã độc ẩn sâu trong tiến trình máy chủ và ngăn chặn từ sớm các hành vi thực thi trái phép
- Trang bị Microsoft Defender Antivirus và đảm bảo cập nhật định kỳ, giúp nhận diện và loại bỏ các web shell như spinstall.aspx mà tin tặc đang sử dụng
- Xoay vòng khóa xác thực ASP.NET (machine key) để vô hiệu hóa quyền truy cập mà kẻ tấn công có thể đã giành được bằng cách đánh cắp khóa cũ
- Khởi động lại dịch vụ IIS bằng lệnh iisreset.exe nhằm áp dụng các thay đổi bảo mật và loại bỏ phiên làm việc độc hại còn tồn tại trong bộ nhớ
Theo các chuyên gia WhiteHat: "Dù chưa ghi nhận dấu hiệu ransomware khai thác trực tiếp chuỗi lỗ hổng này, nhưng việc kết hợp giữa bypass xác thực và thực thi mã từ xa là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu. Chúng tôi nhận định mức độ rủi ro là rất cao, không chỉ vì phạm vi ảnh hưởng mà còn vì tốc độ khai thác tăng mạnh. Một khi công cụ khai thác bị chia sẻ công khai, mọi hệ thống chưa vá sẽ trở thành ‘miếng mồi béo bở’. Càng chậm cập nhật, nguy cơ bị tấn công càng cận kề."
Microsoft đánh giá: các nhóm tấn công APT sẽ sớm tích hợp chuỗi lỗ hổng này vào bộ công cụ tấn công của mình, nguy cơ lan rộng là rõ ràng, đặc biệt với những tổ chức chưa kịp vá hệ thống. Chuyên gia WhiteHat cảnh báo: “Không hành động ngay lúc này chẳng khác nào mời kẻ tấn công vào thẳng trung tâm dữ liệu. Lúc đó, không chỉ là web shell, mà có thể là cả một chiến dịch mã hóa, đòi chuộc và đánh cắp dữ liệu ở cấp độ sâu hơn.”
Việc cập nhật bản vá không còn là lựa chọn, đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào.
WhiteHat tổng hợp
Chỉnh sửa lần cuối: