Một lỗ hổng bảo mật nghiêm trọng (zero-day) trong Microsoft SharePoint Server — mã CVE-2025-53770 với điểm CVSS 9.8 — đang bị các nhóm tấn công khai thác tích cực trên diện rộng. Đây là biến thể của một lỗi trước đó (CVE-2025-49704), cho phép thực thi mã từ xa (RCE) thông qua kỹ thuật deserialization dữ liệu không đáng tin cậy.
Microsoft xác nhận lỗ hổng này có thể bị khai thác mà không cần xác thực, cho phép kẻ tấn công thực thi mã tùy ý từ xa, di chuyển ngang trong hệ thống và duy trì quyền truy cập lâu dài bằng cách giả mạo các payload hợp lệ với MachineKey bị đánh cắp.
Tính đến thời điểm hiện tại, ít nhất 85 máy chủ SharePoint đã bị cài mã độc Web Shell, ảnh hưởng đến 29 tổ chức trên toàn cầu, bao gồm các tập đoàn đa quốc gia và cơ quan chính phủ. Kẻ tấn công tận dụng endpoint /_layouts/15/ToolPane.aspx, chèn payload RCE qua PowerShell và đánh cắp các khóa xác thực như ValidationKey, DecryptionKey — những thành phần cốt lõi trong cơ chế __VIEWSTATE của ASP.NET.
Với những khóa này, kẻ tấn công có thể tạo ra các gói __VIEWSTATE giả mạo nhưng được hệ thống chấp nhận như thật, từ đó kích hoạt thực thi mã từ xa một cách liền mạch. Điều này khiến quá trình khắc phục trở nên phức tạp hơn vì việc vá lỗi thông thường không tự động vô hiệu hóa các khóa mã hóa đã bị lộ.
Khuyến nghị ứng phó từ Microsoft và các chuyên gia VSEC:
-
Kích hoạt tích hợp Antimalware Scan Interface (AMSI) nếu có thể
-
Cài đặt Microsoft Defender Antivirus trên toàn bộ máy chủ SharePoint
-
Ngắt kết nối Internet tạm thời nếu không thể kích hoạt AMSI
-
Triển khai Defender for Endpoint để phát hiện hành vi hậu khai thác
Lưu ý: Các bản cập nhật SharePoint từ tháng 9/2023 đã bật sẵn AMSI cho các bản 2016, 2019 và Subscription Edition.
