Một lỗ hổng CVE nghiêm trọng trong Microsoft SharePoint, được định danh là CVE-2026-20963, đã được xác định là đang bị khai thác tích cực trong các cuộc tấn công thực tế. Vào ngày 18 tháng 3 năm 2026, lỗ hổng này đã chính thức được thêm vào danh mục Các Lỗ Hổng Đã Bị Khai Thác (Known Exploited Vulnerabilities – KEV) của CISA. Việc bổ sung vào danh mục KEV khẳng định rằng các tác nhân đe dọa đang chủ động khai thác CVE-2026-20963 trong các cuộc tấn công mạng, đòi hỏi hành động khẩn cấp từ tất cả các quản trị viên mạng sử dụng nền tảng cộng tác này.
CVE-2026-20963: Lỗ Hổng Deserialization và Cơ Chế Khai Thác
CVE-2026-20963 là một điểm yếu bảo mật bắt nguồn từ cách Microsoft SharePoint xử lý quá trình deserialization dữ liệu không đáng tin cậy. Deserialization là quy trình phần mềm chuyển đổi dữ liệu đã được cấu trúc để lưu trữ hoặc truyền qua mạng trở lại thành các đối tượng có thể thực thi trong bộ nhớ ứng dụng. Nếu ứng dụng không kiểm tra an toàn dữ liệu đầu vào một cách thích hợp, kẻ tấn công có thể lợi dụng quy trình này.
Trong trường hợp cụ thể của CVE-2026-20963, một kẻ tấn công từ xa, không cần xác thực, có thể tạo ra một gói dữ liệu độc hại. Gói dữ liệu này được gửi đến máy chủ SharePoint dễ bị tổn thương qua mạng. Khi SharePoint cố gắng thực hiện deserialization dữ liệu đầu vào không đáng tin cậy này, nó vô tình kích hoạt các lệnh được nhúng sẵn của kẻ tấn công.
Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý (remote code execution) trên máy chủ mà không yêu cầu thông tin xác thực người dùng hợp lệ. Khả năng này biến CVE-2026-20963 trở thành một mối đe dọa nghiêm trọng đối với an toàn thông tin.
Ảnh Hưởng Nghiêm Trọng của Khai Thác CVE-2026-20963
Môi trường Microsoft SharePoint thường lưu trữ các tài liệu doanh nghiệp nhạy cảm cao và thông tin liên lạc nội bộ. Do đó, một cuộc tấn công thực thi mã từ xa (RCE) thành công thông qua CVE-2026-20963 có thể dẫn đến hậu quả nghiêm trọng, bao gồm rò rỉ dữ liệu doanh nghiệp quy mô lớn.
Việc CISA đưa CVE-2026-20963 vào danh mục KEV xác nhận rằng các chuyên gia phòng thủ an ninh mạng đã quan sát thấy hoạt động khai thác thực tế của lỗ hổng này. Mặc dù các nhà nghiên cứu bảo mật đã xác nhận các cuộc tấn công đang diễn ra, các nhóm tác nhân đe dọa cụ thể đứng sau các chiến dịch này vẫn chưa được xác định.
CISA cũng lưu ý rằng hiện tại chưa có thông tin về việc CVE-2026-20963 có liên quan đến các chiến dịch mã độc tống tiền (ransomware) đang hoạt động hay không. Tuy nhiên, các lỗ hổng thực thi mã từ xa luôn được các môi giới truy cập ban đầu (initial access brokers) và các băng nhóm ransomware săn đón. Đây là điểm khởi đầu lý tưởng cho các cuộc tấn công phức tạp hơn.
Một khi khả năng thực thi mã đạt được, kẻ tấn công có thể dễ dàng triển khai các payload phụ. Các hành động này bao gồm thiết lập cửa hậu (backdoor) dai dẳng, di chuyển ngang qua mạng doanh nghiệp rộng lớn hơn, và khởi động các chiến dịch tống tiền. Điều này làm tăng đáng kể rủi ro bảo mật đối với các tổ chức sử dụng SharePoint.
Biện Pháp Giảm Thiểu và Yêu Cầu Cập Nhật Bản Vá Khẩn Cấp
Để giảm thiểu nguy cơ bị xâm nhập rộng rãi, CISA đã ban hành các chỉ thị nghiêm ngặt cho các cơ quan Hành pháp Dân sự Liên bang (Federal Civilian Executive Branch – FCEB). Theo Chỉ thị Hoạt động Bắt buộc (Binding Operational Directive – BOD) 22-01, các tổ chức liên bang có thời gian khắc phục đặc biệt chặt chẽ. Tất cả các phiên bản Microsoft SharePoint dễ bị tổn thương bởi CVE-2026-20963 phải được vá lỗi hoàn toàn hoặc giảm thiểu trước ngày 21 tháng 3 năm 2026.
Các tổ chức thuộc khu vực tư nhân cũng được khuyến khích mạnh mẽ áp dụng khung thời gian khẩn cấp này để bảo vệ cơ sở hạ tầng kỹ thuật số của họ. Các quản trị viên phải ngay lập tức xem xét các thông báo bảo mật chính thức của Microsoft và áp dụng tất cả các bản cập nhật bản vá có sẵn.
Trong trường hợp không thể vá lỗi ngay lập tức trong môi trường sản xuất, các tổ chức phải áp dụng các biện pháp giảm thiểu được nhà cung cấp cung cấp. Nếu không có biện pháp giảm thiểu thay thế nào khả dụng, CISA khuyến nghị rõ ràng các nhà bảo vệ mạng nên ngừng sử dụng hoàn toàn sản phẩm dễ bị tổn thương cho đến khi một bản sửa lỗi vĩnh viễn có thể được triển khai an toàn. Thông tin chi tiết về CVE-2026-20963 và các yêu cầu liên quan có thể được tìm thấy trong Danh mục KEV của CISA.
