Lỗ hổng bảo mật Zero-Day CVE-2025-53770
Một lỗ hổng bảo mật nghiêm trọng trong Microsoft SharePoint Server đã trở thành tâm điểm của một chiến dịch tấn công mạng quy mô lớn đang diễn ra. Được đặt tên là CVE-2025-53770 với điểm CVSS là 9,8, lỗ hổng này được phân loại là zero-day và có liên quan chặt chẽ đến CVE-2025-49704 (CVSS 8.8), một lỗi chèn mã và thực thi mã từ xa đã được xử lý trong bản cập nhật Patch Tuesday tháng 7 năm 2025 của Microsoft. Lỗ hổng này bắt nguồn từ việc hủy tuần tự hóa dữ liệu không đáng tin cậy, cho phép kẻ tấn công thực thi mã độc từ xa mà không cần ủy quyền hợp lệ.
Mục lục
Các cuộc tấn công chủ động và hệ thống bị ảnh hưởng
Các nhà nghiên cứu đã xác nhận rằng tội phạm mạng đang tích cực khai thác lỗ hổng này trên các phiên bản SharePoint Server tại chỗ. Điều quan trọng là SharePoint Online trong Microsoft 365 vẫn không bị ảnh hưởng. Kẻ tấn công đang khai thác cách SharePoint xử lý các đối tượng không đáng tin cậy trong quá trình khử tuần tự hóa, cho phép chúng thực thi lệnh trước khi xác thực người dùng. Khi đã xâm nhập vào hệ thống, kẻ tấn công có thể tạo ra các payload giả mạo bằng cách sử dụng khóa máy bị đánh cắp, cho phép di chuyển ngang và truy cập liên tục. Điều này gây khó khăn cho việc phát hiện và giảm thiểu, vì hoạt động của chúng có thể bắt chước lưu lượng SharePoint hợp pháp.
Chuỗi khai thác phức tạp
Bằng chứng cho thấy CVE-2025-53770 đang được sử dụng cùng với các lỗ hổng khác, bao gồm CVE-2025-49706 (một lỗi giả mạo có điểm CVSS là 6,3) và CVE-2025-49704, để tạo thành một chuỗi khai thác nâng cao được gọi là ToolShell. Kẻ tấn công lợi dụng CVE-2025-49706 để cung cấp các tải trọng thực thi mã từ xa khai thác CVE-2025-49704. Việc thêm '_layouts/SignOut.aspx' làm tham chiếu HTTP được cho là sẽ biến đổi CVE-2025-49706 thành CVE-2025-53770, cho phép quy trình khai thác được tinh giản hơn.
Các cuộc tấn công thường liên quan đến các payload ASPX được phân phối qua PowerShell, với mục tiêu đánh cắp cấu hình MachineKey của máy chủ (ValidationKey và DecryptionKey). Các khóa này rất quan trọng vì chúng cho phép kẻ tấn công tạo ra các payload __VIEWSTATE độc hại mà SharePoint sẽ chấp nhận là hợp lệ, trên thực tế biến bất kỳ yêu cầu đã được xác thực nào thành cơ hội thực thi mã từ xa.
Quy mô thỏa hiệp
Cho đến nay, hơn 85 máy chủ SharePoint trên toàn thế giới đã bị xâm nhập, ảnh hưởng đến ít nhất 29 tổ chức, bao gồm các tập đoàn đa quốc gia và cơ quan chính phủ. Một khi kẻ tấn công có được khóa mật mã, việc khắc phục trở nên phức tạp hơn nhiều. Ngay cả sau khi áp dụng bản vá bảo mật, các khóa bị đánh cắp vẫn có thể cho phép kẻ tấn công duy trì quyền truy cập trừ khi các khóa đó được luân chuyển hoặc cấu hình lại thủ công.
Các biện pháp giảm thiểu
Cho đến khi bản vá chính thức được phát hành, Microsoft khuyến cáo các tổ chức nên kích hoạt tích hợp Giao diện Quét Phần mềm Độc hại (AMSI) trong SharePoint. Đối với những khách hàng không thể kích hoạt AMSI, chúng tôi khuyến nghị nên ngắt kết nối các máy chủ SharePoint dễ bị tấn công khỏi internet.
Sau các báo cáo khai thác liên tục, Microsoft đã phát hành bản vá cho cả CVE-2025-53770 và lỗ hổng mới được phát hiện, CVE-2025-53771, để bảo vệ các hệ thống dễ bị tấn công.
Cảnh báo của CISA
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành cảnh báo xác nhận việc khai thác lỗ hổng CVE-2025-53770. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa không cần xác thực qua mạng, gây ra mối đe dọa nghiêm trọng cho bất kỳ môi trường SharePoint nào chưa được vá.
