Microsoft đã xác nhận các tác nhân nhà nước Trung Quốc đang tích cực khai thác các lỗ hổng zero-day trên các máy chủ SharePoint đặt tại chỗ (on-premises SharePoint servers). Điều này đã thúc đẩy việc phát hành các bản cập nhật bảo mật khẩn cấp và khuyến nghị vá lỗi tức thì cho các tổ chức trên toàn thế giới.
Vào ngày 19 tháng 7 năm 2025, Trung tâm Phản hồi Bảo mật Microsoft (Microsoft Security Response Center) đã công bố rằng nhiều tác nhân đe dọa từ Trung Quốc đã khai thác hai lỗ hổng nghiêm trọng ảnh hưởng đến các máy chủ SharePoint đặt tại chỗ.
Chi Tiết Lỗ Hổng
- CVE-2025-49706: Một lỗ hổng giả mạo (spoofing vulnerability).
- CVE-2025-49704: Một lỗ hổng thực thi mã từ xa (remote code execution – RCE vulnerability).
Các lỗ hổng này không ảnh hưởng đến SharePoint Online trong Microsoft 365 nhưng gây ra rủi ro đáng kể cho các tổ chức đang sử dụng phiên bản SharePoint đặt tại chỗ.
Hoạt Động Khai Thác và Tác Nhân Đe Dọa
Cuộc điều tra của Microsoft tiết lộ rằng các nỗ lực khai thác đã bắt đầu sớm nhất là từ ngày 7 tháng 7 năm 2025. Các tác nhân đe dọa đã nhắm mục tiêu vào các máy chủ SharePoint kết nối Internet thông qua các yêu cầu POST được tạo riêng (crafted POST requests) tới điểm cuối ToolPane. Công ty đã quan sát thấy sự tiếp nhận nhanh chóng của các khai thác này trên nhiều nhóm đe dọa, đánh giá với độ tin cậy cao rằng các tác nhân khác sẽ tiếp tục tích hợp các lỗ hổng này vào các chiến dịch tấn công của họ.
Các Tác Nhân Đe Dọa Được Xác Định
Ba tác nhân đe dọa riêng biệt của Trung Quốc đã được xác định đang khai thác các lỗ hổng này:
- Linen Typhoon: Hoạt động từ năm 2012, nhóm này tập trung vào đánh cắp tài sản trí tuệ từ các tổ chức chính phủ, quốc phòng và nhân quyền.
- Violet Typhoon: Hoạt động từ năm 2015, nhóm này tiến hành các hoạt động gián điệp chống lại cựu nhân viên chính phủ, các tổ chức phi chính phủ (NGOs), các viện nghiên cứu (think tanks) và các tổ chức giáo dục trên khắp Hoa Kỳ, Châu Âu và Đông Á.
- Storm-2603: Đại diện cho một nhóm đe dọa có trụ sở tại Trung Quốc với độ tin cậy trung bình mà Microsoft chưa liên kết với các tác nhân Trung Quốc đã biết khác. Mặc dù nhóm này trước đây đã triển khai Warlock và Lockbit ransomware, các mục tiêu hiện tại của họ liên quan đến việc khai thác SharePoint vẫn chưa rõ ràng.
Chỉ Số Thỏa Hiệp (IOCs)
- Tên tác nhân đe dọa: Linen Typhoon, Violet Typhoon, Storm-2603
- Mã độc/Ransomware liên quan (hoạt động trước đây của Storm-2603): Warlock, Lockbit ransomware
- Mẫu tên web shell độc hại: spinstall0.aspx (và các biến thể)
Cơ Chế Khai Thác và Hậu Quả
Việc khai thác thành công liên quan đến việc các tác nhân đe dọa tải lên các web shell độc hại với các tên biến thể của “spinstall0.aspx” thông qua các yêu cầu POST được tạo riêng. Các web shell này chứa các lệnh để lấy dữ liệu MachineKey, cho phép kẻ tấn công đánh cắp các thông tin xác thực quan trọng từ các máy chủ SharePoint bị xâm nhập. Kẻ tấn công sau đó sử dụng dữ liệu bị đánh cắp này để có quyền truy cập bền vững và khả năng di chuyển ngang (lateral movement) trong mạng mục tiêu.
Biện Pháp Khắc Phục và Giảm Thiểu
Microsoft đã phát hành các bản cập nhật bảo mật toàn diện cho tất cả các phiên bản SharePoint Server được hỗ trợ, bao gồm Subscription Edition, 2019 và 2016.
Khuyến Nghị Bảo Mật Khẩn Cấp
Công ty khuyến nghị mạnh mẽ các hành động sau:
- Thực hiện vá lỗi tức thì.
- Bật Antimalware Scan Interface (AMSI) ở chế độ Full Mode.
- Triển khai Microsoft Defender Antivirus trên tất cả các máy chủ SharePoint.
- Xoay vòng khóa ASP.NET machine key của máy chủ SharePoint.
- Khởi động lại Internet Information Services (IIS).
- Triển khai các giải pháp phát hiện điểm cuối (endpoint detection solutions).
Biện Pháp Giảm Thiểu Thay Thế
Các tổ chức không thể vá lỗi ngay lập tức nên xem xét:
- Ngắt kết nối máy chủ khỏi Internet.
- Triển khai xác thực VPN/proxy để hạn chế lưu lượng truy cập không xác thực.
Việc khai thác tích cực các lỗ hổng zero-day này nhấn mạnh mối đe dọa dai dẳng từ các tác nhân nhà nước Trung Quốc và tầm quan trọng sống còn của việc duy trì các bản cập nhật bảo mật hiện hành trên toàn bộ hạ tầng doanh nghiệp.
