-
09/04/2020
-
109
-
984 bài viết
Lỗ hổng nghiêm trọng nhất nửa đầu năm 2025: Khi tin tặc đi trước đội phòng thủ
Chỉ vài ngày sau khi có bản vá chính thức, tin tặc đã tìm ra cách vượt qua lớp bảo vệ mới, công bố mã khai thác và bắt đầu tấn công thực tế. Đây không còn là nguy cơ tiềm ẩn, mà là chiến dịch có chủ đích, nhắm thẳng vào SharePoint - điểm yếu chưa được "gia cố" chuẩn chỉnh trong nhiều hệ thống nội bộ.
Ngày 18/7/2025, Cơ quan An ninh Hạt nhân Quốc gia Mỹ (NNSA) thuộc Bộ Năng lượng Hoa Kỳ được xác nhận là nạn nhân của một vụ xâm nhập. Dù chỉ một số hệ thống bị ảnh hưởng và chưa ghi nhận rò rỉ dữ liệu mật, sự việc vẫn làm dấy lên lo ngại trong cộng đồng an ninh mạng toàn cầu.
Tại Việt Nam, chuyên gia WhiteHat chưa ghi nhận trường hợp tương tự, nhưng nguy cơ hoàn toàn có thật, đặc biệt với các đơn vị vẫn dùng SharePoint Server on-premise (phiên bản cài đặt tại chỗ) chưa cập nhật đầy đủ bản vá.
(Ảnh: Helpnet Security)
Chỉ 6 ngày sau, vào ngày 14/7/2025, mã khai thác (PoC) đã được công bố công khai. Tốc độ này khiến các tổ chức gần như không có thời gian phòng thủ trước khi công cụ tấn công lan rộng.
Đáng chú ý, hoạt động khai thác thực tế được ghi nhận từ 17/7, trước cả khi Microsoft xác nhận lỗ hổng vào 19/7. Điều này cho thấy các nhóm tấn công đi trước đội ngũ phòng thủ ít nhất vài ngày.
Trước tình hình khẩn cấp, CISA đã yêu cầu mọi hệ thống bị ảnh hưởng phải vá trong vòng 24 giờ kể từ ngày 22/7. Đây là cảnh báo khẩn cấp hiếm có, phản ánh mức độ nghiêm trọng đặc biệt của lỗ hổng.
Tính đến hôm nay 24/7/2025, thời hạn đã kết thúc. Nếu bạn còn chần chừ chưa vá thì giờ không còn là nguy cơ tiềm ẩn nữa.
Lỗ hổng này bắt nguồn từ cơ chế xử lý dữ liệu đầu vào không an toàn (deserialization), tạo điều kiện để đối tượng xấu gửi vào hệ thống các đoạn mã được ngụy trang dưới dạng dữ liệu hợp lệ, từ đó chiếm quyền điều khiển máy chủ.
Đặc biệt nguy hiểm hơn, nếu kẻ tấn công lấy được khóa bảo mật nội bộ (MachineKey), chúng có thể tạo ra các payload giả mạo một cách dễ dàng, tiến hành di chuyển ngang trong hệ thống và duy trì quyền truy cập trong thời gian dài mà không bị phát hiện
Ngay cả khi hệ thống được vá, nếu không xoay vòng MachineKey hoặc xóa sạch web shell, tin tặc vẫn giữ “chìa khóa quay lại”. Việc duy trì hiện diện lâu dài khiến xử lý sau sự cố trở nên phức tạp hơn nhiều.
ToolShell cũng cho phép xâu chuỗi 4 lỗ hổng CVE-2025-53770, CVE-2025-53771, CVE-2025-49704, CVE-2025-49706 để mở rộng bề mặt tấn công, khiến hệ thống khó phòng thủ.
Khi bị xâm nhập, nó không chỉ là nơi bị đánh cắp dữ liệu mà còn là bàn đạp để di chuyển sâu vào hệ thống. Ở các mô hình on-premise, việc cập nhật bản vá thường bị trì hoãn do cấu hình tùy biến, hệ thống lỗi thời và thiếu quy trình cập nhật kịp thời tạo cơ hội cho tin tặc.
Bề mặt tấn công rộng, nhiều endpoint như /ToolPane.aspx ít được giám sát cũng có thể trở thành “backdoor” lý tưởng khi tồn tại lỗ hổng.
Cuối cùng, khoảng cách giữa SharePoint on-premise và bản cloud khiến các hệ thống chưa chuyển đổi dễ trở thành mục tiêu rõ ràng trong các cuộc quét quy mô lớn trên Internet.
Bản vá là điều kiện cần, nhưng chưa đủ. Cần kiểm tra hiệu quả vá, phát hiện bypass, lập kế hoạch cập nhật bù nếu cần. Các khóa bí mật như MachineKey phải được xoay vòng định kỳ, kiểm soát nghiêm ngặt như tài khoản admin.
Nếu buộc phải công khai SharePoint, cần đặt sau WAF, giám sát chặt, tách mạng, giảm quyền truy cập. Phòng thủ hiện đại không thể chỉ dựa vào chữ ký hãy theo dõi hành vi, phát hiện bất thường từ PowerShell, file ASPX, đến lưu lượng outbound lạ.
Loại bỏ các hệ thống đã hết vòng đời như SharePoint 2013. Và quan trọng không kém, các tổ chức hãy diễn tập trước kịch bản bị chiếm quyền SharePoint vì khi sự cố xảy ra, tốc độ phản ứng là yếu tố sống còn.
Công cụ tấn công đã có. Bản vá cũng đã có. Vấn đề còn lại là: hệ thống của bạn đã sẵn sàng đi trước tin tặc chưa?
Ngày 18/7/2025, Cơ quan An ninh Hạt nhân Quốc gia Mỹ (NNSA) thuộc Bộ Năng lượng Hoa Kỳ được xác nhận là nạn nhân của một vụ xâm nhập. Dù chỉ một số hệ thống bị ảnh hưởng và chưa ghi nhận rò rỉ dữ liệu mật, sự việc vẫn làm dấy lên lo ngại trong cộng đồng an ninh mạng toàn cầu.
Tại Việt Nam, chuyên gia WhiteHat chưa ghi nhận trường hợp tương tự, nhưng nguy cơ hoàn toàn có thật, đặc biệt với các đơn vị vẫn dùng SharePoint Server on-premise (phiên bản cài đặt tại chỗ) chưa cập nhật đầy đủ bản vá.
(Ảnh: Helpnet Security)
Lỗ hổng nghiêm trọng nhất nửa đầu 2025
Chuỗi 0-day mới (CVE-2025-53770 và CVE-2025-53771) xuất hiện ngay sau bản vá hai lỗ hổng trước đó (CVE-2025-49704 và CVE-2025-49706) vào ngày 8/7/2025. Điều đáng lo ngại là các lỗ hổng mới đã vượt qua được lớp bảo vệ vừa vá, cho thấy tin tặc theo sát từng thay đổi để khai thác theo cách mới, nhanh hơn và nguy hiểm hơn.Chỉ 6 ngày sau, vào ngày 14/7/2025, mã khai thác (PoC) đã được công bố công khai. Tốc độ này khiến các tổ chức gần như không có thời gian phòng thủ trước khi công cụ tấn công lan rộng.
Đáng chú ý, hoạt động khai thác thực tế được ghi nhận từ 17/7, trước cả khi Microsoft xác nhận lỗ hổng vào 19/7. Điều này cho thấy các nhóm tấn công đi trước đội ngũ phòng thủ ít nhất vài ngày.
Trước tình hình khẩn cấp, CISA đã yêu cầu mọi hệ thống bị ảnh hưởng phải vá trong vòng 24 giờ kể từ ngày 22/7. Đây là cảnh báo khẩn cấp hiếm có, phản ánh mức độ nghiêm trọng đặc biệt của lỗ hổng.
Tính đến hôm nay 24/7/2025, thời hạn đã kết thúc. Nếu bạn còn chần chừ chưa vá thì giờ không còn là nguy cơ tiềm ẩn nữa.
Vì sao ToolShell nguy hiểm hơn các lỗ hổng trước?
Về mặt kỹ thuật, đây là một biến thể mới của lỗ hổng từng được công bố trước đó (CVE-2025-49704), cho phép kẻ tấn công thực thi mã độc từ xa trên hệ thống máy chủ mà không cần bất kỳ hình thức xác thực nào. Việc kết hợp bypass xác thực và thực thi mã từ xa (RCE) khiến rủi ro tăng mạnh.Lỗ hổng này bắt nguồn từ cơ chế xử lý dữ liệu đầu vào không an toàn (deserialization), tạo điều kiện để đối tượng xấu gửi vào hệ thống các đoạn mã được ngụy trang dưới dạng dữ liệu hợp lệ, từ đó chiếm quyền điều khiển máy chủ.
Đặc biệt nguy hiểm hơn, nếu kẻ tấn công lấy được khóa bảo mật nội bộ (MachineKey), chúng có thể tạo ra các payload giả mạo một cách dễ dàng, tiến hành di chuyển ngang trong hệ thống và duy trì quyền truy cập trong thời gian dài mà không bị phát hiện
Ngay cả khi hệ thống được vá, nếu không xoay vòng MachineKey hoặc xóa sạch web shell, tin tặc vẫn giữ “chìa khóa quay lại”. Việc duy trì hiện diện lâu dài khiến xử lý sau sự cố trở nên phức tạp hơn nhiều.
ToolShell cũng cho phép xâu chuỗi 4 lỗ hổng CVE-2025-53770, CVE-2025-53771, CVE-2025-49704, CVE-2025-49706 để mở rộng bề mặt tấn công, khiến hệ thống khó phòng thủ.
Vì sao SharePoint trở thành mục tiêu?
Không riêng Việt Nam, SharePoint là nền tảng quản lý và chia sẻ tài liệu phổ biến, được sử dụng rộng rãi tại các cơ quan nhà nước, tổ chức giáo dục, bệnh viện, doanh nghiệp và nhiều tổ chức lớn trên thế giới.Khi bị xâm nhập, nó không chỉ là nơi bị đánh cắp dữ liệu mà còn là bàn đạp để di chuyển sâu vào hệ thống. Ở các mô hình on-premise, việc cập nhật bản vá thường bị trì hoãn do cấu hình tùy biến, hệ thống lỗi thời và thiếu quy trình cập nhật kịp thời tạo cơ hội cho tin tặc.
Bề mặt tấn công rộng, nhiều endpoint như /ToolPane.aspx ít được giám sát cũng có thể trở thành “backdoor” lý tưởng khi tồn tại lỗ hổng.
Cuối cùng, khoảng cách giữa SharePoint on-premise và bản cloud khiến các hệ thống chưa chuyển đổi dễ trở thành mục tiêu rõ ràng trong các cuộc quét quy mô lớn trên Internet.
Tạm kết
Sự cố lần này cho thấy các nền tảng cộng tác nội bộ không còn là vùng an toàn. Chúng là cánh cổng vào dữ liệu lõi và khi bị xâm nhập, thiệt hại không chỉ nằm ở tài liệu.Bản vá là điều kiện cần, nhưng chưa đủ. Cần kiểm tra hiệu quả vá, phát hiện bypass, lập kế hoạch cập nhật bù nếu cần. Các khóa bí mật như MachineKey phải được xoay vòng định kỳ, kiểm soát nghiêm ngặt như tài khoản admin.
Nếu buộc phải công khai SharePoint, cần đặt sau WAF, giám sát chặt, tách mạng, giảm quyền truy cập. Phòng thủ hiện đại không thể chỉ dựa vào chữ ký hãy theo dõi hành vi, phát hiện bất thường từ PowerShell, file ASPX, đến lưu lượng outbound lạ.
Loại bỏ các hệ thống đã hết vòng đời như SharePoint 2013. Và quan trọng không kém, các tổ chức hãy diễn tập trước kịch bản bị chiếm quyền SharePoint vì khi sự cố xảy ra, tốc độ phản ứng là yếu tố sống còn.
Công cụ tấn công đã có. Bản vá cũng đã có. Vấn đề còn lại là: hệ thống của bạn đã sẵn sàng đi trước tin tặc chưa?
WhiteHat
Chỉnh sửa lần cuối: