Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã bổ sung một lỗ hổng CVE nghiêm trọng trong Microsoft SharePoint, được theo dõi là CVE-2026-58644, vào danh mục Các Lỗ hổng Bị Khai thác Đã Biết (KEV) của mình. Việc bổ sung này đi kèm với cảnh báo rằng kẻ tấn công đang tích cực khai thác lỗ hổng trong các cuộc tấn công thực tế.
CVE-2026-58644 đại diện cho một nguy cơ đáng kể, đặc biệt đối với các máy chủ SharePoint tiếp xúc với internet, vốn được sử dụng rộng rãi trong các môi trường doanh nghiệp để quản lý tài liệu và cộng tác. Lỗ hổng này tăng cường rủi ro bảo mật cho các tổ chức trên toàn cầu.
Lỗ hổng này phát sinh từ một điểm yếu trong việc khử tuần tự dữ liệu không đáng tin cậy (deserializing untrusted data). Nếu ứng dụng không xử lý dữ liệu này một cách đúng đắn, nó có thể cho phép thực thi mã từ xa (remote code execution).
Theo khuyến nghị, lỗ hổng cho phép kẻ tấn công không được ủy quyền thực thi mã tùy ý qua mạng mà không cần xác thực trước. Đây là một điểm cực kỳ nghiêm trọng vì nó giảm đáng kể rào cản xâm nhập.
Lỗ hổng được phân loại theo CWE-502, liên quan đến khử tuần tự không an toàn (unsafe deserialization). Trong các cuộc tấn công như vậy, các tác nhân đe dọa gửi các đối tượng đã được tuần tự hóa được tạo thủ công đặc biệt đến hệ thống mục tiêu.
Nếu ứng dụng không xác thực hoặc làm sạch dữ liệu này một cách hiệu quả, nó có thể dẫn đến việc thực thi các payload độc hại trong môi trường máy chủ. Khử tuần tự không an toàn là một kỹ thuật tấn công phổ biến mà qua đó các kẻ tấn công có thể thao túng logic ứng dụng để đạt được mục tiêu bất hợp pháp.
Trong trường hợp của SharePoint, khai thác thành công có thể cho phép kẻ tấn công thiết lập chỗ đứng ban đầu trên hệ thống. Từ đó, chúng có thể triển khai các web shell để duy trì quyền truy cập.
Ngoài ra, kẻ tấn công có thể di chuyển ngang (lateral movement) qua các mạng nội bộ hoặc thực hiện các cuộc tấn công sâu hơn. Điều này bao gồm việc đánh cắp dữ liệu nhạy cảm hoặc cài đặt mã độc tống tiền (ransomware).
Cảnh Báo và Yêu Cầu Từ CISA Đối Với CVE Nghiêm Trọng
CISA đã thêm CVE-2026-58644 vào danh mục KEV của mình vào ngày 16 tháng 7 năm 2026. Điều này cho thấy lỗ hổng đã được xác nhận khai thác trong thực tế. Danh mục KEV của CISA đóng vai trò là nguồn thông tin chính thức về các lỗ hổng đã biết đang bị khai thác.
Mặc dù hiện tại không có xác nhận công khai liên kết lỗ hổng này với bất kỳ chiến dịch ransomware cụ thể nào, các lỗ hổng khử tuần tự đã được các nhà điều hành ransomware và các nhóm tấn công có chủ đích cao (APT) ưa chuộng trong lịch sử. Điều này là do độ tin cậy và tác động đáng kể của chúng.
Các cơ quan và tổ chức liên bang hiện được yêu cầu khắc phục lỗ hổng CVE này theo Chỉ thị Hoạt động Bắt buộc (BOD) 26-04. Chỉ thị này nhấn mạnh việc ưu tiên các bản cập nhật bảo mật dựa trên mức độ tiếp xúc rủi ro.
Chỉ thị BOD 26-04 yêu cầu các cơ quan đánh giá xem các phiên bản SharePoint bị ảnh hưởng của họ có tiếp xúc với internet hay không. Sau đó, họ phải áp dụng các biện pháp giảm thiểu được nhà cung cấp khuyến nghị trong một khung thời gian cụ thể. Việc tuân thủ nghiêm ngặt các yêu cầu này là rất quan trọng để bảo vệ cơ sở hạ tầng mạng.
Bạn có thể tham khảo danh mục KEV của CISA tại: CISA Known Exploited Vulnerabilities Catalog.
Phát Hiện và Ứng Phó Với Xâm Nhập Mạng
CISA cũng đã thúc giục các tổ chức tuân thủ Yêu cầu Phân loại Pháp y (Forensics Triage Requirements) của mình để phát hiện các sự cố bị xâm phạm tiềm ẩn. Điều này là một phần thiết yếu của chiến lược ứng phó sự cố toàn diện.
Các yêu cầu bao gồm việc xem xét nhật ký hệ thống một cách kỹ lưỡng và giám sát các hoạt động SharePoint bất thường. Mục tiêu là xác định các chỉ báo xâm phạm như các tiến trình không mong muốn, các mẫu xác thực đáng ngờ hoặc các tệp tải lên trái phép.
Ví dụ, việc kiểm tra các tệp nhật ký trên máy chủ SharePoint có thể giúp phát hiện các mẫu truy cập bất thường. Các lệnh CLI sau đây có thể hữu ích trong việc kiểm tra nhật ký sự kiện trên máy chủ Windows:
Get-WinEvent -LogName 'Security' -FilterXPath "*[System[EventID=4625 or EventID=4624 or EventID=4627 or EventID=4634 or EventID=4647 or EventID=4720 or EventID=4728 or EventID=4732 or EventID=4733 or EventID=4740 or EventID=4756 or EventID=4757]]" | Format-Table -AutoSizeLệnh này giúp lọc các sự kiện bảo mật liên quan đến đăng nhập, đăng xuất, thay đổi tài khoản và nhóm, những yếu tố quan trọng để phát hiện hành vi độc hại.
Get-WinEvent -LogName 'Microsoft-SharePoint Products/Operational' | Where-Object {$_.Message -like '*suspicious*'} | Format-Table -AutoSizeLệnh thứ hai nhằm tìm kiếm các từ khóa đáng ngờ trong nhật ký hoạt động của SharePoint, mặc dù cần điều chỉnh từ khóa cho phù hợp với các mối đe dọa cụ thể. Các dấu hiệu khác bao gồm sự xuất hiện của các quy trình lạ chạy trên máy chủ hoặc các kết nối mạng không giải thích được từ SharePoint đến các địa chỉ IP lạ.
Biện Pháp Giảm Thiểu và Áp Dụng Bản Vá Bảo Mật
Microsoft đã phát hành hướng dẫn để giải quyết vấn đề này, và các tổ chức được khuyến cáo mạnh mẽ nên áp dụng các bản vá hoặc biện pháp giảm thiểu ngay lập tức. Việc trì hoãn việc áp dụng bản vá bảo mật có thể khiến hệ thống tiếp tục bị phơi nhiễm với các cuộc tấn công.
Nếu các bản sửa lỗi không có sẵn hoặc không thể triển khai, CISA khuyến nghị ngừng sử dụng dịch vụ dễ bị tổn thương cho đến khi các biện vệ phù hợp được áp dụng. Đây là một khuyến nghị quan trọng để ngăn chặn khai thác tiếp theo.
Các nhóm an ninh cần xem xét triển khai các biện pháp phòng thủ bổ sung. Điều này bao gồm hạn chế quyền truy cập bên ngoài vào các máy chủ SharePoint, đảm bảo rằng chỉ những người dùng và dịch vụ cần thiết mới có thể truy cập.
Việc triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) là cần thiết để giám sát liên tục. EDR có thể giúp phát hiện các hoạt động đáng ngờ và phản ứng nhanh chóng với các mối đe dọa.
Ngoài ra, việc tiến hành săn lùng mối đe dọa (threat hunting) định kỳ có thể giúp xác định các dấu hiệu khai thác. Threat hunting bao gồm việc chủ động tìm kiếm các dấu hiệu của kẻ tấn công mà các hệ thống bảo mật tự động có thể đã bỏ lỡ.
Chính sách sao lưu và khôi phục dữ liệu cần được thiết lập và kiểm tra định kỳ. Trong trường hợp hệ thống bị xâm nhập, khả năng khôi phục nhanh chóng từ các bản sao lưu an toàn là rất quan trọng để giảm thiểu thiệt hại và thời gian ngừng hoạt động.
Cho rằng SharePoint được sử dụng rộng rãi trong các doanh nghiệp và mạng lưới chính phủ, việc khai thác tích cực lỗ hổng CVE CVE-2026-58644 đặt ra một mối đe dọa đáng kể. Việc vá lỗi kịp thời, giám sát liên tục và tuân thủ các chỉ thị của CISA là rất quan trọng để giảm thiểu rủi ro bị xâm phạm và tăng cường an ninh mạng tổng thể.










