Lỗ hổng nghiêm trọng trong SharePoint bị khai thác diện rộng, ảnh hưởng hơn 75 tổ chức toàn cầu

Theo trang The Hacker News, lỗ hổng zero-day này được định danh là CVE-2025-53770 với điểm CVSS cực cao 9.8, là biến thể của lỗi giả mạo danh tính CVE-2025-49706 (CVSS: 6.3) từng được Microsoft khắc phục trong bản vá Patch Tuesday tháng 7/2025.

Theo cảnh báo ngày 19/7 từ Microsoft, lỗi này xuất phát từ việc giải tuần tự dữ liệu không tin cậy trong hệ thống SharePoint Server cài đặt tại chỗ, tạo điều kiện cho tin tặc thực thi mã độc từ xa mà không cần xác thực. Đáng chú ý, lỗ hổng được phát hiện và báo cáo bởi chuyên gia an ninh mạng thuộc Viettel Cyber Security, thông qua chương trình Zero Day Initiative của Trend Micro. Đây là một trong số rất ít lần một tổ chức từ Việt Nam được ghi nhận đóng vai trò tiên phong trong phát hiện mối đe dọa bảo mật toàn cầu.

Microsoft SharePoint, nền tảng bị phát hiện lỗ hổng bảo mật nghiêm trọng CVE-2025-53770 đang bị khai thác diện rộng.

Hiện tại, Microsoft chưa phát hành bản vá chính thức nhưng đang tiến hành kiểm tra kỹ lưỡng trước khi công bố cập nhật. Trong thời gian chờ đợi, hãng khuyến nghị người dùng kích hoạt tích hợp Antimalware Scan Interface (AMSI) trong SharePoint và triển khai Defender Antivirus trên tất cả máy chủ SharePoint. Với các máy chủ không thể bật AMSI, nên ngắt kết nối khỏi Internet tạm thời.

Microsoft cho biết SharePoint Online trên nền tảng Microsoft 365 không bị ảnh hưởng bởi sự cố lần này. Cùng với đó, các chuyên gia từ Eye Security và nhóm Unit 42 của Palo Alto Networks cảnh báo thêm về một chuỗi tấn công có tổ chức, kết hợp CVE-2025-49706 và CVE-2025-49704 (điểm CVSS 8.8), một lỗ hổng chèn mã độc trong SharePoint, cho phép tin tặc thực thi lệnh tùy ý trên hệ thống bị lây nhiễm. Chuỗi khai thác này được đặt tên là ToolShell.

Theo mô tả, các đối tượng tấn công sử dụng PowerShell để tải các tập tin độc hại dạng ASPX, đánh cắp thông tin cấu hình MachineKey của máy chủ SharePoint, bao gồm ValidationKey và DecryptionKey, từ đó duy trì quyền truy cập lâu dài và tạo điều kiện thực thi mã từ xa.

Ông Piet Kerkhofs - Giám đốc Công nghệ của Eye Security cho biết: “Chúng tôi đã xác định hàng loạt đợt khai thác trên diện rộng. Ảnh hưởng là rất lớn khi các nhóm tấn công đang mở rộng tấn công ngang bằng hình thức thực thi mã độc từ xa với tốc độ cao”.

Eye Security cho biết đã cảnh báo cho hơn 75 tổ chức bị xâm nhập, sau khi phát hiện mã độc cài vào máy chủ SharePoint của họ. Các nạn nhân bao gồm doanh nghiệp lớn và cơ quan nhà nước tại nhiều quốc gia. 

Dù đã ghi nhận các cuộc tấn công diễn ra thực tế, đến nay Microsoft vẫn chưa cập nhật mô tả khai thác chủ động trong các khuyến cáo liên quan đến CVE-2025-49706 và CVE-2025-49704. Đây là diễn biến bảo mật đang phát triển và có khả năng ảnh hưởng sâu rộng trong thời gian tới. Các tổ chức sử dụng SharePoint Server tại chỗ cần kiểm tra ngay hệ thống, triển khai giải pháp phòng vệ nhiều lớp và theo dõi sát các bản cập nhật từ Microsoft.

Duy Trinh