Một lỗ hổng zero-day (CVE-2025-53770) vừa được phát hiện trong Microsoft SharePoint Server. Lỗ hổng này đang bị khai thác quy mô lớn ngoài thực tế, ảnh hưởng tới hàng chục tổ chức, bao gồm cả các công ty đa quốc gia và cơ quan chính phủ. Đây là một cuộc tấn công có tính kỹ thuật cao, khó phát hiện và có thể gây ra hậu quả nghiêm trọng nếu không được xử lý kịp thời.
1753087329043.png
Lỗ hổng CVE-2025-53770 là một biến thể nâng cấp của lỗ hổng CVE-2025-49704 (từng được Microsoft vá hồi đầu tháng 7). Tuy nhiên, bản vá trước đó chưa triệt để và đã bị các nhóm tin tặc tìm ra cách vượt qua.

CVE-2025-53770 khai thác một lỗi trong quá trình “deserialization”, khi SharePoint xử lý dữ liệu đầu vào từ bên ngoài mà không xác thực đầy đủ. Điều này cho phép hacker thực thi mã lệnh tùy ý từ xa mà không cần đăng nhập (unauthenticated RCE).

Công ty cũng tiết lộ một lỗ hổng nữa là CVE-2025-53771 mà họ cho biết có nhiều biện pháp bảo vệ hơn so với CVE-2025-49706. Điều này cho thấy có hai lỗ hổng zero-day mới, cả hai đều là lỗ hổng vượt qua các bản sửa lỗi ban đầu của Microsoft vào đầu tháng này.

Quá trình tấn công đi theo hướng cực kỳ tinh vi:​

  • Tin tặc gửi một yêu cầu độc hại (payload) qua HTTP tới SharePoint, lợi dụng một điểm yếu liên quan đến header HTTP Referer.​
  • Payload này chứa mã độc ASPX dùng PowerShell để ăn cắp MachineKey (bộ khóa mã hóa nội bộ của SharePoint)​
  • Với các khóa này trong tay, kẻ tấn công có thể tạo ra các đoạn mã giả mạo dưới dạng “VIEWSTATE” (một cơ chế ASP.NET dùng để lưu trạng thái giữa các lần gửi/nhận dữ liệu).​
  • Các payload giả mạo này được SharePoint chấp nhận như thật và hacker có thể thực thi bất cứ lệnh gì trên hệ thống, thậm chí duy trì quyền kiểm soát lâu dài, di chuyển sang các hệ thống nội bộ khác mà không bị phát hiện.​
Theo thống kê từ giới chuyên gia:​
  • Ít nhất 85 máy chủ SharePoint đã bị xâm nhập thành công tính đến thời điểm hiện tại.​
  • Các máy chủ này thuộc 29 tổ chức toàn cầu bao gồm cả các doanh nghiệp lớn và cơ quan nhà nước.​
  • Không cần đăng nhập, không cần thao tác từ người dùng, chỉ cần hệ thống tồn tại lỗ hổng và được kết nối internet là hacker đã có thể chiếm quyền điều khiển toàn bộ SharePoint Server từ xa.​
Đặc biệt, Microsoft xác nhận SharePoint Online (trong Microsoft 365) không bị ảnh hưởng, chỉ các hệ thống SharePoint on-premises (tự triển khai tại chỗ) mới bị tấn công.

Vì sao lỗ hổng này cực kỳ nguy hiểm?​

  • Thực thi mã từ xa không cần xác thực, hacker có thể “chui” vào máy chủ mà không cần mật khẩu.​
  • Ẩn mình rất khéo, lợi dụng các cơ chế nội bộ để giả dạng yêu cầu hợp lệ.​
  • Khó xử lý, vì sau khi bị khai thác, hacker có thể dùng khóa đã ăn cắp để tiếp tục tấn công, ngay cả khi hệ thống đã vá lỗi.​
Đã có bản vá chính thức cho CVE-2025-53770 và CVE-2025-53771, hai lỗ hổng mới vá lại các lỗi cũ chưa triệt để. Người dùng cần cập nhật ngay.

Nếu chưa thể cập nhật ngay:​

  • Tắt kết nối internet của SharePoint Server tạm thời.​
  • Kích hoạt tính năng Antimalware Scan Interface (AMSI) có sẵn từ bản cập nhật tháng 9/2023 trở đi.​
  • Cài đặt Microsoft Defender Antivirus và Defender for Endpoint để theo dõi hành vi sau khai thác.​
  • Tăng cường giám sát mạng và nhật ký hệ thống, đặc biệt các truy cập bất thường từ công cụ như PowerShell.​
Vụ SharePoint lần này là minh chứng điển hình cho một loại tấn công zero-day tinh vi, dễ lọt, khó phát hiện và khó khắc phục nếu không có chuẩn bị trước.​
WhiteHat tổng hợp