Ngày 21/7, Microsoft đã phát hành một bản cập nhật khẩn cấp để giải quyết hai lỗ hổng bảo mật nghiêm trọng trong nền tảng SharePoint, được xác định là CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này cho phép thực thi mã từ xa (RCE) mà không cần xác thực trên các máy chủ SharePoint, đây là một trong những dạng tấn công nguy hiểm nhất.

Hai lỗ hổng bảo mật này được phát hiện trong cuộc thi tấn công mạng Pwn2Own tại Berlin vào tháng 5. Các đội tham gia đã thành công trong việc khai thác chuỗi lỗ hổng ToolShell để giành quyền kiểm soát hệ thống SharePoint. Mặc dù Microsoft đã phát hành bản vá sơ bộ trong đợt cập nhật tháng 7, nhưng các tin tặc nhanh chóng tìm ra cách vượt qua các lớp bảo vệ này và tiếp tục tấn công hệ thống.

Ước tính của công ty an ninh mạng Censys cho thấy hiện có hơn 10.000 máy chủ SharePoint trên toàn cầu đang có nguy cơ bị xâm nhập, tập trung chủ yếu tại Mỹ, Hà Lan, Anh và Canada. Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) cảnh báo rằng các lỗ hổng này cho phép tin tặc truy cập hệ thống tệp, đọc cấu hình nội bộ và cài đặt mã độc từ xa mà không cần tài khoản đăng nhập.

Nhóm chuyên gia của Google Threat Intelligence mô tả đây là ‘truy cập không cần xác thực một cách liên tục’, trong khi Palo Alto Networks gọi đây là ‘mối đe dọa thực sự và hiện hữu’. Các chiến dịch tấn công hiện tại đang sử dụng các tệp độc hại như spinstall0.aspx và tấn công trực tiếp vào thư mục _layouts – đặc điểm thường thấy trong các đợt tấn công APT có chủ đích và quy mô lớn.

Microsoft đã cung cấp hướng dẫn khắc phục cụ thể cho từng phiên bản hệ thống SharePoint, bao gồm SharePoint Server 2019, SharePoint Server 2016 và SharePoint Subscription Edition. Quản trị viên cần cập nhật khóa máy, khởi động lại dịch vụ IIS trên tất cả máy chủ SharePoint và kiểm tra log hệ thống và nhật ký IIS để phát hiện truy cập trái phép.

Một số dấu hiệu cần lưu ý bao gồm xuất hiện tệp lạ tại đường dẫn C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions16TEMPLATELAYOUTSspinstall0.aspx và log IIS hiển thị các truy cập bất thường. Microsoft cũng cung cấp công cụ truy vấn trong Microsoft 365 Defender giúp phát hiện nhanh các mối đe dọa tiềm tàng liên quan đến ToolShell.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, với Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Theo thông tin được công bố, mặc dù hệ thống của NSA bị xâm nhập, nhưng không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này nằm trong chiến dịch có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Chiến dịch này đã không chỉ nhắm vào Mỹ mà còn nhắm vào Đức và một số nước châu Âu khác, chủ yếu nhắm vào các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Điều này đòi hỏi người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng.

Các chuyên gia bảo mật khuyến cáo rằng việc nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết là rất quan trọng trong tình hình hiện nay. Người dùng cần phải cẩn thận khi nhận được email hoặc các yêu cầu truy cập từ nguồn không rõ ràng, và cần kiểm tra kỹ lưỡng trước khi thực hiện bất kỳ hành động nào.

Như vậy, việc bảo vệ hệ thống và dữ liệu khỏi các cuộc tấn công mạng đang trở nên cấp thiết hơn bao giờ hết. Các tổ chức và cá nhân cần phải phối hợp chặt chẽ với các chuyên gia bảo mật để cập nhật và áp dụng các biện pháp bảo mật mới nhất, nhằm giảm thiểu rủi ro và đảm bảo an toàn cho hệ thống và dữ liệu của mình.

Lỗ hổng nghiêm trọng trong phần mềm SharePoint của Microsoft đang gây ra sự quan ngại lớn cho các chuyên gia an ninh mạng trên toàn cầu. Được biết đến với tên gọi ‘ToolShell’, lỗ hổng zero-day này có thể cho phép các tin tặc thực hiện các cuộc tấn công vào hệ thống của nhiều cơ quan chính phủ và doanh nghiệp, vốn sử dụng phần mềm này như một công cụ để chia sẻ tài liệu nội bộ một cách an toàn.

Ông Adam Meyers, Phó Chủ tịch cấp cao của công ty an ninh mạng CrowdStrike, nhận định rằng bất kỳ tổ chức nào sở hữu máy chủ SharePoint được lưu trữ bên ngoài đều có thể gặp phải vấn đề này. Đồng thời, ông cũng nhấn mạnh rằng đây là một lỗ hổng nghiêm trọng và có thể gây ra những rủi ro đáng kể cho các tổ chức có máy chủ SharePoint cài đặt tại chỗ. Cụ thể, lỗ hổng này có thể cho phép tin tặc truy cập đầy đủ vào các hệ thống tệp SharePoint, bao gồm cả các dịch vụ được kết nối như Teams và OneDrive.

Bộ phận Phân tích mối đe dọa an ninh mạng của Google cũng lên tiếng cảnh báo rằng lỗ hổng này có thể cho phép tin tặc vượt qua các bản vá trong tương lai. Điều này đặt ra một thách thức lớn cho các tổ chức và doanh nghiệp trong việc bảo vệ hệ thống của mình.

Về phần mình, Microsoft đã xác nhận rằng dịch vụ SharePoint Online dựa trên đám mây của họ không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, ông Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Phân tích mối đe dọa an ninh mạng của Đơn vị Nghiên cứu bảo mật Unit42 tại Palo Alto Networks, cảnh báo rằng lỗ hổng vẫn đang đặt nhiều tổ chức và cá nhân vào tầm ngắm của tin tặc.

Các tổ chức an ninh mạng quốc tế đã phát hiện ra một cuộc tấn công quy mô lớn, trong đó tin tặc đã xâm nhập hệ thống của khoảng 100 tổ chức khác nhau, bao gồm nhiều doanh nghiệp và cơ quan chính phủ. Hầu hết các tổ chức bị ảnh hưởng đều ở Mỹ và Đức, trong đó có cả các tổ chức chính phủ. Ngoài ra, Trung tâm An ninh mạng quốc gia Anh cũng tuyên bố đã nắm được thông tin về một số lượng hạn chế các mục tiêu ở nước này.

Trước tình hình này, Cơ quan Quản lý An ninh mạng và Hạ tầng (CISA) của Mỹ đã đưa ra khuyến nghị rằng bất kỳ máy chủ nào bị ảnh hưởng bởi lỗ hổng này cần ngắt kết nối với internet cho đến khi chúng được vá bảo mật. Điều này nhằm ngăn chặn các cuộc tấn công và bảo vệ hệ thống của các tổ chức.

Tóm lại, lỗ hổng ‘ToolShell’ trong phần mềm SharePoint của Microsoft đang gây ra những lo ngại lớn cho các chuyên gia an ninh mạng và các tổ chức trên toàn cầu. Việc nhận diện và vá lỗ hổng này một cách kịp thời là hết sức quan trọng để ngăn chặn các cuộc tấn công và bảo vệ hệ thống của các tổ chức.

CISA và các tổ chức an ninh mạng khác đang tích cực làm việc với các tổ chức bị ảnh hưởng để giúp họ vá lỗ hổng và ngăn chặn các cuộc tấn công. Đồng thời, các tổ chức cũng được khuyến khích nâng cao cảnh giác và thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ hệ thống của mình.

Thông tin chi tiết về lỗ hổng này có thể được tìm thấy tại đây và đây.