ភាពងាយរងគ្រោះ CVE-2025-53770 Zero-Day
កំហុសសុវត្ថិភាពធ្ងន់ធ្ងរនៅក្នុង Microsoft SharePoint Server បានក្លាយទៅជាការផ្តោតសំខាន់នៃយុទ្ធនាការវាយប្រហារតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំដែលកំពុងបន្ត។ តាមដានជា CVE-2025-53770 ជាមួយនឹងពិន្ទុ CVSS 9.8 ភាពងាយរងគ្រោះនេះត្រូវបានចាត់ថ្នាក់ជាសូន្យថ្ងៃ ហើយជាប់ទាក់ទងយ៉ាងជិតស្និទ្ធទៅនឹង CVE-2025-49704 (CVSS 8.8) ដែលជាការចាក់កូដ និងកំហុសការប្រតិបត្តិលេខកូដពីចម្ងាយដែលត្រូវបានដោះស្រាយកំឡុងពេលអាប់ដេតរបស់ Microsoft ខែកក្កដា ឆ្នាំ 2025 បំណះថ្ងៃអង្គារ។ កំហុសនេះកើតចេញពីការបំផ្លាញទិន្នន័យដែលមិនគួរឱ្យទុកចិត្ត ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការកូដព្យាបាទពីចម្ងាយ និងដោយគ្មានការអនុញ្ញាតត្រឹមត្រូវ។
តារាងមាតិកា
ការវាយប្រហារសកម្ម និងប្រព័ន្ធដែលរងផលប៉ះពាល់
ក្រុមអ្នកស្រាវជ្រាវបានបញ្ជាក់ថា ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងប្រើប្រាស់យ៉ាងសកម្មនូវភាពងាយរងគ្រោះនេះប្រឆាំងនឹងឧទាហរណ៍ម៉ាស៊ីនមេ SharePoint នៅនឹងកន្លែង។ សំខាន់ SharePoint Online ក្នុង Microsoft 365 នៅតែមិនប៉ះពាល់។ អ្នកវាយប្រហារកំពុងកេងប្រវ័ញ្ចពីរបៀបដែល SharePoint គ្រប់គ្រងវត្ថុដែលមិនគួរឱ្យទុកចិត្តកំឡុងពេល deserialization ដោយផ្តល់ឱ្យពួកគេនូវសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជាមុនពេលការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់។ នៅពេលដែលនៅខាងក្នុងប្រព័ន្ធ អ្នកវាយប្រហារអាចបង្កើត payloads ក្លែងក្លាយ ដោយប្រើសោម៉ាសុីនដែលលួច បើកដំណើរការនៅពេលក្រោយ និងការចូលប្រើប្រាស់ជាប់រហូត។ នេះធ្វើឱ្យការរកឃើញ និងកាត់បន្ថយការពិបាក ដោយសារសកម្មភាពរបស់ពួកគេអាចធ្វើត្រាប់តាមចរាចរណ៍ SharePoint ស្របច្បាប់។
ខ្សែសង្វាក់កេងប្រវ័ញ្ចស្មុគស្មាញ
ភ័ស្តុតាងបង្ហាញថា CVE-2025-53770 កំពុងត្រូវបានប្រើប្រាស់ជាមួយនឹងគុណវិបត្តិផ្សេងទៀត រួមទាំង CVE-2025-49706 (កំហុសក្លែងក្លាយដែលមានពិន្ទុ CVSS 6.3) និង CVE-2025-49704 ដើម្បីបង្កើតខ្សែសង្វាក់ការកេងប្រវ័ញ្ចកម្រិតខ្ពស់ដែលគេស្គាល់ថាជា ToolShell ។ អ្នកវាយប្រហារប្រើ CVE-2025-49706 ដើម្បីបញ្ជូនបន្ទុកប្រតិបត្តិកូដពីចម្ងាយដែលកេងប្រវ័ញ្ច CVE-2025-49704 ។ ការបន្ថែម '_layouts/SignOut.aspx' ក្នុងនាមជាអ្នកយោង HTTP ត្រូវបានគេរាយការណ៍ថាបំប្លែង CVE-2025-49706 ទៅជា CVE-2025-53770 ដែលបើកដំណើរការដំណើរការកេងប្រវ័ញ្ចកាន់តែងាយស្រួល។
ការវាយប្រហារជាធម្មតាពាក់ព័ន្ធនឹង ASPX payloads ដែលបញ្ជូនតាមរយៈ PowerShell ដោយមានគោលដៅលួចការកំណត់រចនាសម្ព័ន្ធ MachineKey របស់ម៉ាស៊ីនមេ (ValidationKey និង DecryptionKey)។ គ្រាប់ចុចទាំងនេះមានសារៈសំខាន់ណាស់ ព្រោះវាអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើតបន្ទុក __VIEWSTATE ព្យាបាទ ដែល SharePoint នឹងទទួលយកថាត្រឹមត្រូវ ធ្វើឱ្យសំណើដែលបានផ្ទៀងផ្ទាត់ណាមួយទៅជាឱកាសប្រតិបត្តិកូដពីចម្ងាយយ៉ាងមានប្រសិទ្ធភាព។
មាត្រដ្ឋាននៃការសម្របសម្រួល
រហូតមកដល់ពេលនេះ ម៉ាស៊ីនមេ SharePoint ជាង 85 នៅទូទាំងពិភពលោកត្រូវបានសម្របសម្រួល ដែលប៉ះពាល់ដល់យ៉ាងហោចណាស់ 29 អង្គការ រួមទាំងសាជីវកម្មពហុជាតិ និងទីភ្នាក់ងាររដ្ឋាភិបាល។ នៅពេលដែលអ្នកវាយប្រហារមានសោគ្រីប នោះការដោះស្រាយកាន់តែស្មុគស្មាញ។ សូម្បីតែបន្ទាប់ពីអនុវត្តបំណះសុវត្ថិភាពក៏ដោយ សោដែលលួចអាចនៅតែអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការចូលប្រើបាន លុះត្រាតែសោទាំងនោះត្រូវបានបង្វិលដោយដៃ ឬកំណត់រចនាសម្ព័ន្ធឡើងវិញ។
វិធានការកាត់បន្ថយ
រហូតទាល់តែមានបំណះផ្លូវការ Microsoft បានណែនាំដល់អង្គការនានាឱ្យបើកការរួមបញ្ចូល Antimalware Scan Interface (AMSI) នៅក្នុង SharePoint ។ សម្រាប់អតិថិជនមិនអាចដំណើរការ AMSI បានទេ ការផ្តាច់ម៉ាស៊ីនមេ SharePoint ដែលងាយរងគ្រោះពីអ៊ីនធឺណិតត្រូវបានណែនាំយ៉ាងខ្លាំង។
បន្ទាប់ពីរបាយការណ៍ការកេងប្រវ័ញ្ចដែលកំពុងបន្ត Microsoft បានចេញផ្សាយបំណះសម្រាប់ទាំង CVE-2025-53770 និងកំហុសដែលបានរកឃើញថ្មី CVE-2025-53771 ដើម្បីការពារប្រព័ន្ធដែលងាយរងគ្រោះ។
ការព្រមានរបស់ CISA
ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធរបស់សហរដ្ឋអាមេរិក (CISA) បានចេញការជូនដំណឹងដែលបញ្ជាក់ពីការកេងប្រវ័ញ្ចសកម្មនៃ CVE-2025-53770 ។ ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់លើបណ្តាញ ដែលបង្កការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់បរិស្ថាន SharePoint ដែលមិនបានជួសជុល។
