Cập nhật ngay! Microsoft SharePoint đang bị hacker khai thác

Microsoft vừa xác nhận rằng phần mềm SharePoint — dùng để quản lý tài liệu nội bộ — đang bị tấn công tích cực thông qua hai lỗ hổng “zero-day”. Những lỗ hổng này cho phép hacker thực thi mã từ xa, chiếm quyền máy chủ và truy cập dữ liệu nhạy cảm nếu thiết bị bị phơi ngoài Internet.

Microsoft đã nhanh chóng phát hành bản vá cho các phiên bản SharePoint hiện được hỗ trợ: SharePoint Subscription Edition và SharePoint 2019. Tuy nhiên, phiên bản SharePoint 2016 vẫn chưa được cập nhật hoàn chỉnh và vẫn nằm trong “vùng nguy hiểm”.

Trong các vụ tấn công ghi nhận, hacker đã tận dụng một endpoint tên ToolPane để gửi yêu cầu POST chứa payload độc hại — một mặc script (ten gọi ví dụ “spinstall0.aspx”) được tải lên máy chủ. Script này thu thập các khóa máy chủ (Machine Keys) và gửi trả lại hacker, giúp kẻ tấn công leo thang quyền và thực thi các lệnh sâu hơn trong hệ thống.

Một số nhóm tin tặc có xuất xứ liên quan đến Trung Quốc đã được Microsoft theo dõi: “Linen Typhoon”, “Violet Typhoon” và nhóm “Storm-2603”. Họ được cho là đã điều khiển các chiến dịch khai thác để triển khai ransomware, đánh cắp dữ liệu và mở cửa sau (backdoor) trên hệ thống bị xâm.

Microsoft khuyến cáo rằng tất cả người dùng SharePoint “on-premises” (cài đặt tại chỗ, không phải SharePoint Online) cần cập nhật bản vá ngay lập tức. Ngoài việc cài đặt bản vá, các biện pháp bảo vệ bổ sung gồm khởi động lại dịch vụ web (IIS), đổi khóa ASP.NET machine, bật tính năng quét mã độc (AMSI), và sử dụng hệ thống bảo vệ đầu cuối (endpoint protection) để phát hiện và ngăn chặn các hành vi nguy hiểm.