Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã đưa ra cảnh báo khẩn cấp về việc các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong SharePoint. Các nhà nghiên cứu bảo mật đã quy kết các cuộc tấn công này cho các nhóm tin tặc Trung Quốc.

CISA cảnh báo rằng các tác nhân độc hại đang tận dụng một chuỗi lỗ hổng được đặt tên là “ToolShell” để giành quyền truy cập trái phép vào các máy chủ SharePoint on-premises của các tổ chức.

Chuỗi lỗ hổng ToolShell và Tác động

CISA đã xác nhận rằng những kẻ tấn công đang tích cực khai thác hai lỗ hổng nghiêm trọng: CVE-2025-49706, một lỗ hổng giả mạo mạng (network spoofing), và CVE-2025-49704, một lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE). Sự kết hợp nguy hiểm này cho phép các tác nhân đe dọa đạt được cả quyền truy cập hệ thống không xác thực và quyền truy cập đã xác thực thông qua các kỹ thuật giả mạo mạng.

Chuỗi lỗ hổng này cung cấp cho kẻ tấn công quyền kiểm soát toàn diện đối với môi trường SharePoint, cho phép chúng truy cập các hệ thống tệp, cấu hình nội bộ và thực thi mã tùy ý trên các mạng. Phạm vi và tác động của các cuộc tấn công này vẫn đang được đánh giá, nhưng hậu quả là nghiêm trọng đối với các tổ chức đang vận hành các cài đặt SharePoint dễ bị tổn thương.

Các nhà nghiên cứu bảo mật đã lưu ý rằng chuỗi tấn công ToolShell thể hiện một mối đe dọa đáng kể đối với các môi trường doanh nghiệp, đặc biệt là những triển khai SharePoint có thể truy cập công khai.

Phản ứng của Microsoft và các Lỗ hổng Bổ sung

Microsoft đã phản ứng nhanh chóng với mối đe dọa này, phát hành các bản cập nhật bảo mật và hướng dẫn chi tiết để các tổ chức bảo vệ hệ thống của họ. Ngoài ra, Microsoft đã xác định hai CVE bổ sung tiềm ẩn rủi ro:

• CVE-2025-53771: Hoạt động như một bản vá bypass cho CVE-2025-49706.
• CVE-2025-53770: Hoạt động như một bản vá bypass cho CVE-2025-49704.

Mặc dù các lỗ hổng bypass này hiện không bị khai thác tích cực, sự tồn tại của chúng nhấn mạnh sự phức tạp của bối cảnh đe dọa.

Hướng dẫn Khắc phục từ CISA

CISA đã ban hành hướng dẫn toàn diện, thúc giục các tổ chức thực hiện hành động ngay lập tức. Cơ quan này khuyến nghị áp dụng ngay lập tức các bản cập nhật bảo mật của Microsoft và cấu hình Antimalware Scan Interface (AMSI) trong các môi trường SharePoint.

Đối với các tổ chức không thể bật AMSI, CISA khuyên nên ngắt kết nối các sản phẩm SharePoint hướng ra công chúng khỏi truy cập internet cho đến khi các biện pháp giảm thiểu chính thức có sẵn.

Các biện pháp bảo vệ bổ sung bao gồm:

• Xoay vòng khóa máy ASP.NET cả trước và sau khi áp dụng các bản cập nhật bảo mật.
• Giám sát các yêu cầu POST đáng ngờ đến các điểm cuối (endpoints) SharePoint cụ thể.
• Triển khai khả năng ghi nhật ký (logging) nâng cao.

Chỉ số Compromise (IOCs)

Các tổ chức cũng nên quét tìm các địa chỉ IP cụ thể liên quan đến các cuộc tấn công, đặc biệt là các địa chỉ sau đây đã cho thấy hoạt động trong khoảng thời gian từ ngày 18-19 tháng 7 năm 2025:

• 107.191.58.76
• 104.238.159.149
• 96.9.125.147

Cập nhật Danh mục Lỗ hổng đã bị Khai thác (KEV) của CISA

Các lỗ hổng đã nhanh chóng được thêm vào danh mục Known Exploited Vulnerabilities (KEV) của CISA:

• CVE-2025-53770 được thêm vào ngày 20 tháng 7 năm 2025.
• Tiếp theo là CVE-2025-49706 và CVE-2025-49704 vào ngày 22 tháng 7 năm 2025.

Các công ty bảo mật bao gồm Eye Security và Palo Alto Networks Unit42 đã công bố các phân tích chi tiết về các kỹ thuật tấn công.

Các tổ chức được khuyến nghị báo cáo ngay lập tức bất kỳ sự cố hoặc hoạt động bất thường nào cho Trung tâm Vận hành 24/7 của CISA, khi cơ quan này tiếp tục theo dõi bối cảnh mối đe dọa đang phát triển này.

^{Nguồn : https://adsecvn.com/cisa-canh-bao-khan-lo-hong-sharepoint-bi-khai-thac-tich-cuc-boi-tin-tac/}