Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã ban hành các cảnh báo khẩn cấp liên quan đến việc khai thác tích cực hai lỗ hổng nghiêm trọng trong Microsoft SharePoint. Các tổ chức phải đối mặt với thời hạn triển khai các biện pháp bảo vệ trong cùng một ngày để giảm thiểu rủi ro.
Cảnh báo này, được phát hành vào ngày 22 tháng 7 năm 2025, nhằm mục tiêu vào các lỗ hổng gây ra rủi ro đáng kể cho các triển khai SharePoint của doanh nghiệp trên toàn thế giới, với thời hạn tuân thủ được đặt vào ngày hôm sau.
CISA đã xác định hai lỗ hổng liên kết với nhau trong Microsoft SharePoint hiện đang bị khai thác tích cực trong thực tế. Các lỗ hổng này có thể được xâu chuỗi (chained) lại với nhau để tạo ra các kịch bản tấn công gây hậu quả nghiêm trọng, cho phép các tác nhân độc hại giành quyền truy cập trái phép và thực thi mã trên các hệ thống dễ bị tổn thương.
CVE-2025-49706: Lỗ hổng xác thực không đúng cách
CVE-2025-49706 là một lỗ hổng xác thực không đúng cách nghiêm trọng (severe improper authentication vulnerability). Lỗ hổng này cho phép kẻ tấn công đã xác thực (authorized attackers) thực hiện các cuộc tấn công giả mạo (spoofing attacks) tinh vi qua kết nối mạng.
Việc khai thác thành công lỗ hổng này cho phép kẻ tấn công:
- Xem thông tin nhạy cảm.
- Thực hiện các sửa đổi trái phép đối với dữ liệu đã bị lộ.
Điều này tạo ra các rủi ro bảo mật đáng kể cho các tổ chức bị ảnh hưởng, bao gồm việc lộ thông tin kinh doanh độc quyền, dữ liệu cá nhân, hoặc khả năng thao túng các tài liệu và quy trình nội bộ.
CVE-2025-49704: Lỗ hổng chèn mã
Lỗ hổng đi kèm, CVE-2025-49704, giới thiệu khả năng chèn mã (code injection capabilities). Lỗ hổng này cho phép kẻ tấn công đã xác thực thực thi mã độc hại từ xa qua kết nối mạng. Khả năng này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống bị ảnh hưởng, bao gồm việc cài đặt phần mềm độc hại, tạo tài khoản người dùng mới, hoặc thay đổi cấu hình hệ thống.
Tác động khi khai thác chuỗi lỗ hổng
Khi được xâu chuỗi lại với nhau, CVE-2025-49706 và CVE-2025-49704 tạo ra một vector tấn công đặc biệt nguy hiểm. Kẻ tấn công có thể lợi dụng lỗi xác thực ban đầu để giành được quyền truy cập, sau đó sử dụng khả năng chèn mã để leo thang đặc quyền và thực thi mã tùy ý.
Tình huống này có thể dẫn đến việc xâm phạm toàn bộ môi trường SharePoint, bao gồm các ứng dụng, cơ sở dữ liệu và dữ liệu được lưu trữ. Mức độ nghiêm trọng của mối đe dọa được nhấn mạnh bởi thời hạn phản ứng nén của CISA, chỉ 24 giờ.
Khuyến nghị và yêu cầu tuân thủ từ CISA
Với ngày 23 tháng 7 năm 2025 là thời hạn tuân thủ, CISA đã ban hành các khuyến nghị nghiêm ngặt yêu cầu thực hiện ngay lập tức.
Các tổ chức phải ngắt kết nối tất cả các cài đặt SharePoint Server hướng ra công chúng đã đạt trạng thái End-of-Life (EOL) hoặc End-of-Service (EOS). Điều này bao gồm SharePoint Server 2013 và các phiên bản trước đó. Việc sử dụng các phiên bản này phải được ngừng ngay lập tức do chúng không còn nhận được các bản cập nhật bảo mật và là mục tiêu chính của kẻ tấn công.
Biện pháp giảm thiểu cho các phiên bản được hỗ trợ
Đối với các tổ chức đang chạy các phiên bản SharePoint được hỗ trợ, CISA yêu cầu tuân thủ nghiêm ngặt cả hướng dẫn của cơ quan và hướng dẫn giảm thiểu do nhà cung cấp Microsoft cung cấp. Điều này bao gồm việc triển khai tất cả các bản vá bảo mật có sẵn và cấu hình hệ thống theo các thực tiễn tốt nhất về bảo mật.
Cảnh báo đặc biệt đề cập đến hướng dẫn BOD 22-01 cho các dịch vụ đám mây, yêu cầu các tổ chức phải:
- Triển khai các biện pháp bảo mật toàn diện để bảo vệ dữ liệu và chức năng của SharePoint.
- Ngừng sử dụng sản phẩm hoàn toàn nếu không thể triển khai các biện pháp giảm thiểu đầy đủ.
Yêu cầu này nhấn mạnh trách nhiệm của các tổ chức trong việc đảm bảo an toàn cho dữ liệu và hệ thống của họ, đặc biệt là trong môi trường đám mây nơi chia sẻ trách nhiệm có thể phức tạp.
Dòng thời gian và mức độ nghiêm trọng
Thời gian phản ứng cấp bách 24 giờ nhấn mạnh mức độ nghiêm trọng của bối cảnh mối đe dọa. Cả hai lỗ hổng đều được thêm vào danh mục Known Exploited Vulnerabilities (KEV) của CISA vào ngày 22 tháng 7 năm 2025, với thời hạn phải xử lý vào ngày 23 tháng 7 năm 2025.
Điều này cho thấy các nỗ lực khai thác tích cực đã được xác định trong các môi trường doanh nghiệp. Mặc dù việc sử dụng các lỗ hổng này trong các chiến dịch ransomware vẫn chưa được biết đến, nhưng tiềm năng tấn công chuỗi và tình trạng khai thác tích cực khiến chúng trở thành mục tiêu ưu tiên cao để khắc phục ngay lập tức.
Các tổ chức không đáp ứng thời hạn này phải đối mặt với các vi phạm tuân thủ tiềm ẩn và gia tăng rủi ro an ninh mạng. Điều này có thể dẫn đến mất dữ liệu, gián đoạn hoạt động, thiệt hại về danh tiếng và các hình phạt pháp lý.
Hành động khẩn cấp đối với các tổ chức
Các nhóm bảo mật nên ưu tiên đánh giá lỗ hổng ngay lập tức và triển khai các biện pháp giảm thiểu được khuyến nghị mà không chậm trễ để duy trì tình trạng bảo mật của tổ chức. Việc này bao gồm:
- Tiến hành quét lỗ hổng và kiểm tra thâm nhập để xác định các hệ thống SharePoint dễ bị tổn thương.
- Áp dụng các bản vá và cập nhật mới nhất từ Microsoft.
- Đảm bảo các cấu hình bảo mật được áp dụng đúng cách theo hướng dẫn của CISA và các thực tiễn tốt nhất trong ngành.
- Giám sát mạng liên tục để phát hiện các dấu hiệu khai thác hoặc hoạt động bất thường.
- Đào tạo nâng cao nhận thức về bảo mật cho người dùng để giảm thiểu rủi ro từ các cuộc tấn công giả mạo và lừa đảo.
