Blog

Cảnh Báo Bảo Mật: Lỗ Hổng Nghiêm Trọng Trên SharePoint Bị Khai Thác Như Zero-Day

Đăng trong mục Bởi Hồng Kim Bảo

Vào thứ Bảy, ngày 19 tháng 7 năm 2025, Microsoft đã phát hành một bản tư vấn về CVE-2025-53770, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến các máy chủ SharePoint cài đặt tại chỗ. Điều đáng báo động là lỗ hổng này đã bị một kẻ tấn công chưa rõ danh tính khai thác trong thực tế như một zero-day trước khi Microsoft công bố. Lỗ hổng được mô tả là lỗi cho phép giải tuần tự hóa dữ liệu không đáng tin cậy mà không cần xác thực, với điểm CVSS cơ bản là 9.8 (Nghiêm trọng).

Lỗ hổng này đang được sử dụng trong các chiến dịch tấn công quy mô lớn, có chủ đích nhằm chiếm quyền thực thi mã từ xa, thiết lập truy cập dai dẳng và trích xuất các khóa mã hóa cho phép kẻ tấn công giả mạo các token xác thực hợp lệ. Chiến dịch này không mang tính cơ hội – nó được thực hiện một cách có chủ đích, hiệu quả và được thiết kế để duy trì sự hiện diện ngay cả sau khi đã vá lỗi. Rapid7 đã ghi nhận các hoạt động khai thác trong môi trường khách hàng và chia sẻ các chỉ số xâm nhập cùng hướng dẫn phát hiện để giúp các chuyên gia phòng thủ ứng phó nhanh chóng.

Microsoft mô tả CVE-2025-53770 có liên quan đến lỗ hổng trước đó, CVE-2025-49704, vốn đã được vá lỗi vào tháng 7 năm 2025. Có vẻ như lỗ hổng mới, CVE-2025-53770, là một phương thức vượt qua bản vá lỗi trước đó. Microsoft cũng cho biết các bản vá cho lỗ hổng mới CVE-2025-53770 bao gồm các “biện pháp bảo vệ mạnh mẽ hơn” so với bản cập nhật tháng 7 cho lỗ hổng CVE-2025-49704.

Ngoài ra, Microsoft cũng đã phát hành một bản tư vấn cho lỗ hổng mới thứ hai, CVE-2025-53771. Hiện tại vẫn chưa rõ liệu lỗ hổng thứ hai này có đang bị khai thác trong thực tế như một phần của chuỗi khai thác cùng với CVE-2025-53770 hay không. Microsoft chỉ ra rằng các bản vá cho CVE-2025-53771 cũng bao gồm các “biện pháp bảo vệ mạnh mẽ hơn” so với bản cập nhật tháng 7 cho một lỗ hổng trước đó khác là CVE-2025-49706.

Để hiểu rõ lý do tại sao hai lỗ hổng mới CVE-2025-53770 và CVE-2025-53771 lại liên quan đến hai lỗ hổng trước đó CVE-2025-49704 và CVE-2025-49706, chúng ta cần làm rõ bản chất của các lỗ hổng cũ.

Lỗ hổng trước đó, CVE-2025-49704, là một phần của chuỗi khai thác được trình diễn tại cuộc thi hack Pwn2Own vào tháng 5 năm 2025. Trong cuộc thi, Viettel Cyber Security đã kết hợp hai lỗ hổng: một lỗi bỏ qua xác thực (CVE-2025-49706) và một lỗ hổng giải tuần tự hóa dữ liệu không đáng tin cậy (CVE-2025-49704) để đạt được RCE mà không cần xác thực. Chuỗi khai thác Pwn2Own từ tháng 5 năm 2025 được đặt tên là “ToolShell“. Lỗ hổng mới, CVE-2025-53770, hiện đang bị khai thác trong thực tế dường như là một phương thức vượt qua bản vá lỗi cho CVE-2025-49704. Ngoài ra, CVE-2025-53771 dường như là một phương thức vượt qua bản vá lỗi cho CVE-2025-49706, tuy nhiên Microsoft đã chỉ ra rằng CVE-2025-53771 chưa bị khai thác trong thực tế.

Xem thêm>> Cách Đăng Ký Gói Cước Viettel 10.000 Đồng/Ngày: Hướng Dẫn Chi Tiết

Vào Chủ nhật, ngày 20 tháng 7 năm 2025, CISA đã thêm CVE-2025-53770 vào danh mục Các lỗ hổng đã biết bị khai thác (KEV).

Hướng dẫn giảm thiểu

Nhà cung cấp đã bắt đầu cung cấp các bản vá cho các phiên bản SharePoint bị ảnh hưởng. Khách hàng được khuyến cáo làm theo hướng dẫn của nhà cung cấp và khắc phục lỗ hổng này bằng cách nâng cấp lên phiên bản đã sửa lỗi một cách khẩn cấp, không chờ đợi chu kỳ vá lỗi thông thường.

Để có hướng dẫn giảm thiểu mới nhất, vui lòng tham khảo tư vấn của nhà cung cấp.

Ngoài việc áp dụng các biện pháp giảm thiểu sẵn có, các tổ chức nên:

  • Thực hiện đánh giá mức độ xâm nhập, đặc biệt nếu SharePoint bị phơi nhiễm ra bên ngoài.
  • Xoay vòng các khóa mã hóa (ví dụ: ValidationKey, DecryptionKey) sau khi áp dụng các biện pháp giảm thiểu.
  • Theo dõi các hành vi bất thường trên máy chủ SharePoint và điều tra mọi hoạt động tệp ASPX trái phép.

Khách hàng của Rapid7

MDR

Rapid7 MDR đang chủ động phát hiện hoạt động này thông qua phân tích hành vi. Một phương pháp phát hiện hiệu quả với độ tin cậy cao bao gồm các chuỗi tiến trình được sinh ra từ tiến trình worker của IIS.

Xem thêm>> Vay Tiền Qua Sim Viettel: Hướng Dẫn Chi Tiết và Các Đơn Vị Hỗ Trợ Uy Tín

Cụ thể: w3wp.exe ➝ cmd.exe ➝ powershell.exe -EncodedCommand

Mẫu này không phải là hoạt động bình thường đối với các máy chủ SharePoint và nên được coi là dấu hiệu của sự xâm nhập, đồng thời đã chứng tỏ hiệu quả trong việc phát hiện các nỗ lực khai thác CVE-2025-53770.

Khách hàng của InsightIDR và Managed Detection and Response có phạm vi bảo phủ phát hiện hiện có thông qua thư viện quy tắc phát hiện phong phú của Rapid7. Các quy tắc phát hiện sau đây đã được triển khai và cảnh báo về hoạt động liên quan đến việc khai thác máy chủ SharePoint:

  • Potential Exploitation – CVE-2025-53770 (Microsoft SharePoint)
  • Webshell – IIS Spawns CMD To Spawn PowerShell
  • Rapid7 Intelligence Hub – Exploitation of Sharepoint (CVE-2025-53770)
  • Suspicious HTTP Request – CVE-2025-53770 (Microsoft SharePoint)

Intelligence Hub

Khách hàng sử dụng Intelligence Hub của Rapid7 có thể theo dõi các diễn biến mới nhất xung quanh CVE-2025-53770, bao gồm các chỉ số xâm nhập (IOCs), quy tắc Yara và các kỹ thuật, chiến thuật, quy trình (TTPs) mới nổi.

InsightVM và Nexpose

Khách hàng của InsightVM và Nexpose có thể đánh giá mức độ phơi nhiễm với CVE-2025-53770 và CVE-2025-53771 với các kiểm tra xác thực có sẵn trong bản phát hành nội dung ngày 21 tháng 7. Các kiểm tra xác thực cho CVE-2025-49704 và CVE-2025-49706 đã có sẵn kể từ bản phát hành nội dung ngày 8 tháng 7.

Xem thêm>> Lịch Âm Ngày 10 Tháng 4 Năm 2019: Hướng Dẫn Chi Tiết Theo Giờ

NGAV và Bảo vệ Ransomware

Khách hàng của Rapid7 Ransomware Prevention và NGAV có thể yên tâm khi biết rằng quy tắc hiện có của chúng tôi “Endpoint Detection – IIS Executed Windows Interpreter” sẽ xác định và chặn các lệnh Command Prompt và PowerShell được thực thi dưới dạng con của tiến trình worker IIS. Điều này ngăn chặn các hoạt động tiếp theo hiện đang được quan sát thấy thông qua việc khai thác CVE-2025-53770.

Chi tiết kỹ thuật

Chuỗi khai thác thể hiện một sự phát triển nguy hiểm trong các kỹ thuật khai thác SharePoint, kết hợp các thủ thuật giải tuần tự hóa cũ với các phương pháp mới về duy trì sự hiện diện và leo thang đặc quyền.

Truy cập ban đầu bắt đầu bằng một yêu cầu POST được chế tạo đặc biệt tới điểm cuối SharePoint dễ bị tấn công: /_layouts/*/ToolPane.aspx

Yêu cầu này tận dụng cách SharePoint hiển thị các điều khiển trên trang, cuối cùng buộc máy chủ thực thi các lệnh PowerShell nhúng. Một khi kẻ tấn công đạt được quyền thực thi, một webshell độc hại có tên spinstall0.aspx sẽ được triển khai vào thư mục layouts của máy chủ.

Nhưng đây chỉ là bước khởi đầu. Tiếp theo là một hành động tinh vi hơn: kẻ tấn công gửi yêu cầu GET đến webshell của chúng và trích xuất khóa ValidationKeyDecryptionKey từ máy chủ SharePoint. Các khóa mã hóa này là nền tảng cho cách SharePoint xác thực người dùng và bảo vệ dữ liệu phiên nhạy cảm.

Xem thêm>> Tổng Hợp Các Gói Cước Dcom 4G Viettel Siêu Rẻ: Hướng Dẫn Đăng Ký Chi Tiết

Bằng cách đánh cắp các bí mật này, kẻ tấn công không còn bị giới hạn trong việc sử dụng lại đường dẫn khai thác ban đầu của chúng. Giờ đây, chúng có thể tự tạo các token xác thực, giả mạo người dùng và tạo các payload hợp lệ. Có sẵn các công cụ giúp dễ dàng tuần tự hóa các đối tượng độc hại và ký chúng bằng các khóa đã đánh cắp. Kết quả là có thể thực thi mã từ xa (RCE) đầy đủ – mà không cần kẻ tấn công phải duy trì quyền truy cập vào điểm cuối dễ bị tấn công ban đầu.

Kỹ thuật này lấy cảm hứng từ các cuộc tấn công trước đó, đáng chú ý là CVE-2021-28474, nơi việc khai thác phụ thuộc vào việc ký một payload ViewState độc hại với khóa ValidationKey chính xác. Trước đây, điều này đòi hỏi quyền truy cập vào tệp cấu hình hoặc bộ nhớ – giờ đây, kẻ tấn công chỉ đơn giản là đánh cắp các khóa đó sau khi xâm nhập và chuyển sang giai đoạn tiếp theo.

Điều khiến điều này đặc biệt nguy hiểm là sự duy trì hiện diện không chỉ ở cấp độ tệp. Ngay cả khi các chuyên gia phòng thủ xóa bỏ webshell hoặc chặn truy cập vào ToolPane.aspx, các khóa mã hóa đã đánh cắp cho phép kẻ tấn công tái nhập môi trường theo ý muốn, sử dụng các payload đã ký mà không thể phân biệt được với lưu lượng truy cập hợp pháp.

Chỉ số xâm nhập (IOCs)

Địa chỉ IP (Quan sát thấy trong quá trình khai thác)

  • 107.191.58[.]76
  • 104.238.159[.]149
  • 96.9.125[.]147

Chuỗi User-Agent

  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
  • Biến thể được mã hóa URL cho tìm kiếm log: Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0

Tệp độc hại

  • spinstall0.aspx (webshell)
  • SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
  • Đường dẫn trên đĩa: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx

Cập nhật

  • Ngày 22 tháng 7 năm 2025: Bổ sung thông tin khắc phục sự cố mới cho Microsoft SharePoint Enterprise Server 2016. Làm rõ rằng các kiểm tra InsightVM đã được phát hành vào ngày 21 tháng 7.
  • Ngày 29 tháng 7 năm 2025: Thêm các quy tắc logic phát hiện mới dưới mục Khách hàng của Rapid7 > MDR.
  • Ngày 31 tháng 7 năm 2025: Bổ sung thông tin về một quy tắc mới dưới mục Khách hàng của Rapid7 > NGAV và Bảo vệ Ransomware.