Lỗ hổng nghiêm trọng trong SharePoint cho phép tin tặc thực thi mã từ xa

[WhiteHat Team]

Không cần tài khoản, không cần tương tác, chỉ bằng cách gửi một gói dữ liệu độc hại tới máy chủ, tin tặc đã có thể thực thi mã tùy ý từ xa. Kịch bản tồi tệ này đã trở thành hiện thực khi Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) xác nhận một lỗ hổng nghiêm trọng trên Microsoft SharePoint đang bị khai thác rộng rãi trong thực tế.
​

Ngày 18/03/2026, lỗ hổng này đã bị đưa thẳng vào danh mục Các lỗ hổng bị khai thác công khai (KEV). Đây là một động thái báo động đỏ, xác nhận rằng các cuộc tấn công không còn nằm trên lý thuyết mà đã thực sự xảy ra trong môi trường mạng thực tế, buộc các quản trị viên phải hành động ngay lập tức.

Lỗ hổng có mã định danh là CVE-2026-20963. Dù các cơ quan xếp hạng bảo mật chính thức chưa công bố điểm số cuối cùng, nhưng dựa trên mức độ nghiêm trọng, nhiều nguồn tin chuyên gia đã tạm thời đánh giá lỗ hổng này ở mức Critical với điểm CVSS là 9.8, ngưỡng nguy hiểm gần như tuyệt đối. Sai sót này phát sinh từ cơ chế deserialization của SharePoint, một quá trình chuyển đổi dữ liệu từ dạng lưu trữ ngược trở lại thành các đối tượng hoạt động trong bộ nhớ.

Vấn đề nằm ở chỗ, khi hệ thống thiếu các bộ lọc kiểm tra an toàn, chính cơ chế này lại mở ra "cửa hậu" cho mã độc. Tin tặc có thể gửi đi các gói dữ liệu được thiết kế có chủ đích để đánh lừa máy chủ, khiến hệ thống tự động thực thi các lệnh độc hại ngay trong quá trình xử lý dữ liệu. Việc CISA đưa CVE-2026-20963 vào danh mục KEV chính là minh chứng rõ nhất cho thấy độ nguy hiểm của nó đã vượt xa các con số lý thuyết trên giấy tờ.

Điểm nguy hiểm nhất nằm ở chỗ toàn bộ chuỗi tấn công có thể diễn ra hoàn toàn từ xa và không yêu cầu bất kỳ quyền xác thực nào. Kẻ tấn công có thể đi thẳng từ bên ngoài vào hệ thống, giành quyền thực thi mã trên máy chủ mà không cần thông tin đăng nhập hay bất kỳ sự tương tác nào từ phía người dùng. Với một nền tảng như Microsoft SharePoint, nơi tập trung toàn bộ tài liệu nội bộ và các dữ liệu quan trọng của doanh nghiệp, lỗ hổng này gần như đặt toàn bộ hạ tầng thông tin vào trạng thái rủi ro cao nhất.

Dù danh tính của các nhóm tin tặc đứng sau vẫn chưa được tiết lộ, các chuyên gia bảo mật nhận định rằng những lỗ hổng như CVE-2026-20963 luôn là mục tiêu săn đón hàng đầu của các băng đảng ransomware. Một khi đã xâm nhập thành công vào mạng nội bộ, kẻ tấn công có thể di chuyển ngang để leo thang đặc quyền và tiến hành mã hóa dữ liệu nhằm tống tiền doanh nghiệp.

Tính chất cấp bách của lỗ hổng này còn được thể hiện qua thời hạn khắc phục kỷ lục mà CISA đặt ra. Theo đó, các tổ chức thuộc chính phủ liên bang Mỹ chỉ có vỏn vẹn 3 ngày để hoàn tất việc vá lỗi hoặc triển khai các biện pháp ngăn chặn rủi ro. Đối với các doanh nghiệp tại Việt Nam, đây cũng được xem là "giờ G" để rà soát lại toàn bộ hệ thống SharePoint đang vận hành.

Trước những diễn biến phức tạp, các quản trị viên mạng được khuyến cáo cần ngay lập tức áp dụng các bản cập nhật bảo mật chính thức từ Microsoft. Trong trường hợp chưa thể thực hiện việc vá lỗi ngay lập tức vì rào cản kỹ thuật, đơn vị vận hành cần cô lập hệ thống hoặc áp dụng các biện pháp giảm thiểu theo hướng dẫn của nhà sản xuất. Thậm chí, việc tạm dừng sử dụng dịch vụ là điều cần được cân nhắc nếu không thể đảm bảo an toàn cho luồng dữ liệu cốt lõi của tổ chức.
​

Theo Cyber Security News​