Microsoft đã công bố thông tin về lỗ hổng bảo mật nghiêm trọng CVE-2025-53770 trong sản phẩm Microsoft SharePoint On-premises, cho phép đối tượng tấn công thực thi mã từ xa. Sản phẩm này của Microsoft được sử dụng phổ biến trong các hệ thống thông tin cơ quan, tổ chức nhà nước; ngân hàng, tổ chức tài chính, tập đoàn, doanh nghiệp và các công ty lớn. Đặc biệt, lỗ hổng này có thể đã, đang và sẽ được các nhóm tấn công có chủ đích (APT) sử dụng để khai thác diện rộng trong thời gian này. Thông tin cụ thể về lỗ hổng như sau:

- Điểm CVSS: 9.8/10; Mức độ: Rất nghiêm trọng;

- Lỗ hổng khai thác lỗi bỏ qua xác thực được kích hoạt bằng cách đặt header “Referer” thành “/_layouts/SignOut.aspx"”. Sau đó được khai thác để kích hoạt thực thi mã từ xa thông qua webshell “/_layouts/15/ToolPane.aspx”.

- Lỗ hổng ảnh hưởng đến các phiên bản Microsoft SharePoint Server 2019 và Microsoft SharePoint Enterprise Server 2016.

Đây là một lỗ hổng zero-day, đã bị khai thác tích cực ngoài thực tế từ ngày 18/7/2025 và có mức độ nghiêm trọng, cho phép thực thi mã từ xa mà không cần xác thực.

Để ứng phó với tình trạng khai thác lỗ hổng đang diễn ra trên các máy chủ SharePoint on-premises, bộ phận công nghệ thông tin các cơ quan, đơn vị cần chủ động thực hiện một loạt biện pháp phòng thủ chủ động và xử lý sự cố khẩn cấp. Trước hết, nếu hệ thống SharePoint chưa được cập nhật bản vá mới nhất từ Microsoft, nên giả định rằng hệ thống đã bị xâm nhập. Các dấu hiệu tấn công bao gồm truy cập đáng ngờ đến đường dẫn /ToolPane.aspx, đặc biệt là các yêu cầu HTTP POST đến /layouts/15/ToolPane.aspx?DisplayMode=Edit có chứa tiêu đề Referer: /SignOut.aspx. Ngoài ra, cần kiểm tra thư mục layouts trên máy chủ SharePoint để phát hiện các file .aspx bất thường, chẳng hạn như spinstall0.aspx, vì đây là dấu hiệu phổ biến của web shell được triển khai sau khai thác. Cũng cần lưu ý đến các hành vi bất thường như tiến trình IIS (w3wp.exe) gọi shell PowerShell hoặc CMD.

Rà soát nhật ký mạng và SIEM để tìm kết nối đến các địa chỉ IP độc hại đã được ghi nhận, bao gồm 107.191.58[.]76, 104.238.159[.]149 và 96.9.125[.]147, đặc biệt trong khung thời gian từ ngày 17 đến 21 tháng 7 năm 2025. Ngoài ra, cần theo dõi các hoạt động bất thường liên quan đến /layouts/SignOut.aspx, vì các attacker đang sử dụng kỹ thuật spoofing để khai thác từ trang này.

Trong trường hợp chưa phát hiện dấu hiệu xâm nhập, các biện pháp chủ động cần thực hiện ngay bao gồm: áp dụng bản vá bảo mật mới nhất từ Microsoft cho các phiên bản SharePoint Server Subscription Edition và 2019 (lưu ý rằng bản vá cho 2016 vẫn đang chờ cập nhật). Cần bật chức năng AMSI (Antimalware Scan Interface) cho SharePoint và đảm bảo rằng máy chủ đang sử dụng Microsoft Defender hoặc phần mềm antivirus tương thích. Trong trường hợp không thể kích hoạt AMSI, các máy chủ SharePoint cần được tách ra khỏi môi trường internet cho đến khi có bản vá hoặc phương án khắc phục chính thức.

Một bước quan trọng không thể bỏ qua là xoay vòng lại các khóa máy (machine key), bao gồm ValidationKey và DecryptionKey, vốn được dùng để ký và mã hóa ViewState. Nếu attacker đã đánh cắp các khóa này, họ có thể tiếp tục truy cập hệ thống ngay cả sau khi đã vá lỗ hổng. Theo khuyến nghị của Microsoft, việc xoay khóa cần được thực hiện trước và sau khi áp dụng bản vá, sau đó khởi động lại dịch vụ IIS.

Bên cạnh đó, cần kịp thời kiểm tra và thay đổi mật khẩu tài khoản dịch vụ, đồng thời rà soát các tài khoản quản trị viên mới được tạo ra hoặc có hành vi đáng ngờ. Thực hiện các đợt threat hunting bằng EDR để phát hiện hành vi khai thác và phần mềm độc hại như webshell hoặc DLL tải về hệ thống. Đặc biệt, các mã độc dưới dạng DLL thường khó phát hiện hơn so với các file .aspx thông thường.

Các cơ quan, đơn vị cũng cần đảm bảo hệ thống sao lưu đang hoạt động ổn định và nhật ký đủ dài để truy vết, tối thiểu từ ngày 17 tháng 7. Các máy chủ SharePoint đã hết vòng đời (EOL) như phiên bản 2013 hoặc cũ hơn cần được ngắt khỏi internet hoặc loại bỏ khỏi hệ thống. Đồng thời, cần cập nhật hệ thống ngăn chặn xâm nhập (IPS), tường lửa ứng dụng web (WAF) để chặn các mẫu khai thác tương ứng, và triển khai đầy đủ các chính sách logging theo hướng dẫn của CISA.

Cuối cùng, để giảm thiểu khả năng bị ransomware hoặc tái xâm nhập, cơ quan, đơn vị nên chủ động tiến hành kiểm tra toàn diện về cấu hình quyền truy cập, tối giản hóa phân quyền layout và quyền quản trị, thực hiện bảo vệ nhiều lớp và áp dụng các chương trình bảo mật tiên tiến./.

Thanh Việt