CẢNH BÁO AN NINH KHẨN CẤP: Lỗ Hổng Zero-Day SharePoint


Một chiến dịch tấn công mạng quy mô lớn đang diễn ra trên toàn cầu, nhắm vào các máy chủ Microsoft SharePoint chưa được vá. Các nhà nghiên cứu an ninh mạng hàng đầu đã phát hiện ra một lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực bởi nhiều nhóm tác nhân đe dọa tiên tiến (APT), được cho là có liên kết với chính phủ Trung Quốc.

Cuộc tấn công này đặt ra một mối đe dọa khẩn cấp cho các tổ chức, doanh nghiệp và cơ quan chính phủ đang sử dụng Microsoft SharePoint để lưu trữ và quản lý dữ liệu nhạy cảm.

Chi Tiết Về Lỗ Hổng (CVE-2025-XXXXX)

Lỗ hổng bảo mật, được theo dõi dưới mã định danh CVE-2025-XXXXX (lưu ý: mã định danh này mang tính giả định cho bài viết), là một lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE) trong dịch vụ SharePoint Server.

  • Mức độ nghiêm trọng: Cao (Critical)
  • Vector tấn công: Từ xa (Remote)
  • Yêu cầu xác thực: Không (Authentication Not Required)

Điều nguy hiểm nhất của lỗ hổng này là kẻ tấn công có thể khai thác nó từ xa mà không cần bất kỳ thông tin đăng nhập nào. Chỉ cần máy chủ SharePoint có thể truy cập từ internet, nó đã có thể trở thành mục tiêu. Việc khai thác thành công cho phép kẻ tấn công thực thi mã tùy ý với quyền hạn của tài khoản dịch vụ SharePoint, về cơ bản là chiếm toàn quyền kiểm soát máy chủ.

Ai Đứng Sau Cuộc Tấn Công?

Các bằng chứng ban đầu, bao gồm hạ tầng mạng được sử dụng và các công cụ độc hại (malware), đều chỉ ra các nhóm APT có liên quan đến Trung Quốc. Các nhóm này nổi tiếng với các chiến dịch gián điệp mạng, nhắm vào việc đánh cắp sở hữu trí tuệ, bí mật nhà nước, và các thông tin tình báo chiến lược.

Mục tiêu của chúng bao gồm:

  • Các cơ quan chính phủ và quốc phòng.
  • Các viện nghiên cứu và trường đại học.
  • Các công ty công nghệ cao và dược phẩm.
  • Các tổ chức tài chính.

Phương Thức Tấn Công (Attack Chain)

Chiến dịch tấn công thường diễn ra theo các bước sau:

  1. Dò Quét (Scanning): Kẻ tấn công sử dụng các công cụ tự động để quét internet, tìm kiếm các máy chủ SharePoint Server có thể bị tấn công.
  2. Khai Thác Lỗ Hổng (Exploitation): Sau khi xác định được mục tiêu, chúng gửi một yêu cầu HTTP được chế tạo đặc biệt đến máy chủ để khai thác lỗ hổng RCE.
  3. Cài Đặt Webshell (Webshell Installation): Khi đã có quyền thực thi mã, bước đầu tiên của chúng là tải lên một webshell (ví dụ: China Chopper, Godzilla). Webshell này hoạt động như một cửa hậu (backdoor), cho phép kẻ tấn công duy trì quyền truy cập liên tục vào máy chủ.
  4. Leo Thang Đặc Quyền và Di Chuyển Ngang (Privilege Escalation & Lateral Movement): Từ máy chủ SharePoint bị xâm nhập, kẻ tấn công sử dụng các công cụ như Mimikatz để trích xuất thông tin đăng nhập, sau đó di chuyển sang các máy chủ quan trọng khác trong mạng nội bộ.
  5. Trích Xuất Dữ Liệu (Data Exfiltration): Mục tiêu cuối cùng là xác định và nén các dữ liệu có giá trị (tài liệu thiết kế, báo cáo tài chính, thông tin khách hàng) và gửi chúng về máy chủ chỉ huy và điều khiển (C&C) của chúng.

Tác Động Toàn Cầu

Hàng ngàn tổ chức trên khắp thế giới được cho là đã bị ảnh hưởng. Vụ việc này một lần nữa nhấn mạnh sự nguy hiểm của các lỗ hổng zero-day và tốc độ phản ứng đáng kinh ngạc của các nhóm tấn công tinh vi. Việc mất dữ liệu không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng nghiêm trọng đến uy tín và an ninh quốc gia.

Hành Động Khuyến Nghị Khẩn Cấp

Các quản trị viên hệ thống và chuyên gia an ninh cần phải hành động ngay lập tức:

  1. CẬP NHẬT BẢN VÁ NGAY LẬP TỨC: Microsoft đã phát hành một bản vá bảo mật khẩn cấp. Ưu tiên hàng đầu là phải cài đặt bản vá này trên tất cả các máy chủ SharePoint bị ảnh hưởng.
  2. SĂN LÙNG DẤU HIỆU BỊ XÂM NHẬP (IoCs):
  • Kiểm tra các thư mục của SharePoint (đặc biệt là C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\) để tìm các tệp .aspx, .ashx đáng ngờ được tạo gần đây.
  • Rà soát nhật ký (logs) của máy chủ web (IIS) để tìm các yêu cầu bất thường có dấu hiệu khai thác.
  • Giám sát lưu lượng mạng để phát hiện các kết nối đáng ngờ đến các địa chỉ IP lạ, đặc biệt là các kết nối từ máy chủ SharePoint ra ngoài internet.
  1. KIỂM TRA CÁC TÀI KHOẢN NGƯỜI DÙNG: Rà soát các tài khoản có đặc quyền cao và kiểm tra xem có bất kỳ tài khoản nào mới được tạo ra một cách đáng ngờ không.
  2. TRIỂN KHAI GIẢI PHÁP EDR/XDR: Sử dụng các giải pháp Endpoint Detection and Response (EDR) hoặc Extended Detection and Response (XDR) để phát hiện các hành vi sau khai thác như thực thi PowerShell đáng ngờ, sử dụng Mimikatz, v.v.

Kết Luận

Đây là một lời nhắc nhở rõ ràng rằng không có hệ thống nào là an toàn tuyệt đối. Các lỗ hổng zero-day luôn là một vũ khí lợi hại trong tay các tin tặc có tổ chức. Phản ứng nhanh chóng, cập nhật bản vá kịp thời và một chiến lược phòng thủ theo chiều sâu là chìa khóa để bảo vệ tài sản số của tổ chức trước các mối đe dọa ngày càng tinh vi.