Những điều cần biết về ToolShell, mối đe dọa SharePoint đang bị khai thác hàng loạt.

Các cơ quan chính phủ và khu vực tư nhân đã bị bao vây trong bốn ngày qua sau khi phát hiện ra rằng một lỗ hổng nghiêm trọng trong SharePoint, ứng dụng chia sẻ tài liệu được sử dụng rộng rãi do Microsoft tạo ra, đang bị khai thác hàng loạt. Kể từ đó khải huyền, hậu quả và phạm vi ngày càng tăng của các cuộc tấn công rất khó theo dõi.

Sau đây là câu trả lời cho một số câu hỏi phổ biến nhất về lỗ hổng và việc khai thác nó đang diễn ra, được mọi người theo dõi hoạt động gọi chung là ToolShell.

Những gì đã biết cho đến nay

Câu hỏi: SharePoint là gì?

Trả lời: SharePoint là phần mềm máy chủ mà các công ty sử dụng để lưu trữ, quản lý, chia sẻ và cộng tác trên các tài liệu nội bộ, thường là từ bên trong mạng nội bộ của tổ chức. Microsoft đã bán nó từ năm 2001". Năm 2020, Microsoft nói rằng SharePoint đó có 200 triệu người dùng. Theo trang web việc làm CNTT, tính đến năm ngoái, hơn 400.000 tổ chức khách hàng đã sử dụng phần mềm này, bao gồm khoảng 80% các công ty trong danh sách Fortune 500 Jobera".

Hỏi: Vậy lỗ hổng là gì?

MỘT: Lỗ hổng này được theo dõi chính thức như sau CVE-2025-53770, cho phép thực thi mã từ xa không được xác thực trên các máy chủ chạy SharePoint. Sự dễ dàng khai thác, thiệt hại mà nó gây ra và việc nhắm mục tiêu liên tục vào nó trong tự nhiên đã khiến nó được đánh giá mức độ nghiêm trọng là 9,8 trên 10.

Nó cho phép những kẻ tấn công không được xác thực và không có quyền hệ thống thực thi mã độc từ xa. Nó đã phát hiện đầu tiên vào thứ bảy bởi Eye Security. Công ty bảo mật báo cáo lỗ hổng này đã được khai thác tích cực trong hai đợt bắt đầu từ một ngày trước đó và đã xâm phạm “hàng chục system” trên khắp thế giới. Eye Security đã nâng ước tính lên 400 hệ thống bị xâm nhập vào thứ Tư. Bloomberg báo cáo rằng mạng lưới của Cơ quan An ninh Hạt nhân Quốc gia Hoa Kỳ nằm trong số những người thương vong.

Vào thứ ba, Microsoft nói rằng nó đã khai quật được bằng chứng cho thấy việc khai thác tích cực bắt đầu không muộn hơn ngày 7 tháng 7, có nghĩa là nó đã bị khai thác như một ngày bằng 0, trước khi Microsoft và những người bảo vệ biết về mối đe dọa. Lỗ hổng này chỉ ảnh hưởng đến các hệ thống SharePoint mà khách hàng chạy nội bộ bên trong tổ chức của họ. Không có mối đe dọa nào đối với người dùng dịch vụ SharePoint dựa trên đám mây của Microsoft.

Hỏi: Ai đang khai thác lỗ hổng?

MỘT: Microsoft cho biết họ đã quan sát hoạt động khai thác tích cực cho ba nhóm riêng biệt, tất cả đều có liên hệ với chính phủ Trung Quốc. Hai trong số các nhóm trước đây đã được Microsoft biết đến. Một trong số họ— bị theo dõi dưới cái tên Linen Typhoon— thực hiện các cuộc tấn công gián điệp vì tội chiếm đoạt tài sản trí tuệ. Thứ hai là Violet Typhoon, thực hiện các hình thức gián điệp truyền thống hơn.

Nhóm thứ ba trước đây không được theo dõi và được đặt tên là Storm-2603. Microsoft cho biết họ biết rất ít về nhóm này ngoài việc nó có liên quan đến các cuộc tấn công ransomware trong quá kh. Cho đến nay, không ai loại trừ khả năng các nhóm khác— có thể từ các chính phủ hoặc tập đoàn tội phạm tư nhân khác nhau— cũng đang khai thác CVE-2025-53770.

Q: Tại sao lỗ hổng được mệnh danh là ToolShell?

MỘT: ToolShell là tên được đặt cho một cặp lỗ hổng được sử dụng trong chuỗi khai thác chứng minh tại cuộc thi hack Pwn2Own ở Berlin vào tháng 5. Việc khai thác có thể thực thi mã trên máy chủ SharePoint mà không yêu cầu xác thực.

Tên được đặt ra bởi Đinh Hồ Anh, một nhà nghiên cứu đến từ Khoa của Viettel Cyber Security, người đã phát triển khai thác. Nhà nghiên cứu cho biết ông chọn tên này vì nó khai thác ToolPane.aspx, một thành phần để lắp ráp chế độ xem bảng bên trong giao diện người dùng SharePoint.

Cuộc tấn công của Anh là một cuộc bỏ qua xác thực cho phép nhà nghiên cứu thao túng một quy trình giải tuần tự hóa không an toàn. Serialization là một quá trình mã hóa dịch các cấu trúc dữ liệu và trạng thái đối tượng thành các định dạng có thể được lưu trữ hoặc truyền đi và sau đó được xây dựng lại sau đó. Deserialization là quá trình ngược lại.