Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã ban hành cảnh báo bảo mật khẩn cấp về một lỗ hổng zero-day nghiêm trọng trong Microsoft SharePoint Server đang bị khai thác tích cực trong các cuộc tấn công mạng. Lỗ hổng này, được định danh là CVE-2025-53770, đại diện cho một mối đe dọa đáng kể đối với các tổ chức đang vận hành các cài đặt SharePoint tại chỗ (on-premises).
Phân tích Lỗ hổng CVE-2025-53770
Lỗ hổng CVE-2025-53770 bắt nguồn từ một điểm yếu trong quá trình deserialization dữ liệu không đáng tin cậy (deserialization of untrusted data) bên trong môi trường Microsoft SharePoint Server on-premises. Điểm yếu này được phân loại theo Common Weakness Enumeration (CWE) là CWE-502, liên quan đến việc xử lý dữ liệu được tuần tự hóa (serialized data) một cách không an toàn từ các nguồn không đáng tin cậy.
Bản chất của lỗ hổng cho phép những kẻ tấn công trái phép thực thi mã tùy ý từ xa qua mạng (Remote Code Execution – RCE). Khả năng này có thể cấp cho tội phạm mạng quyền kiểm soát hoàn toàn đối với các hệ thống bị ảnh hưởng, dẫn đến những hậu quả nghiêm trọng bao gồm đánh cắp dữ liệu, cài đặt phần mềm độc hại bổ sung, hoặc phá hoại hệ thống.
Mức độ Nghiêm trọng và Tình trạng Khai thác
CISA đã nhấn mạnh mức độ nghiêm trọng của lỗ hổng này bằng cách thêm nó vào Danh mục các Lỗ hổng Bị Khai thác Đã Biết (Known Exploited Vulnerabilities Catalog) của cơ quan vào ngày 20 tháng 7 năm 2025. Ngay sau đó, CISA đã ấn định ngày 21 tháng 7 năm 2025 là thời hạn cuối cùng để các tổ chức triển khai các biện pháp bảo vệ. Thời gian khắc phục cực kỳ gấp rút này cho thấy mức độ nguy hiểm của mối đe dọa và xác nhận lỗ hổng đang bị khai thác tích cực trong thực tế.
Lỗ hổng này đặc biệt gây rủi ro cho các tổ chức có các triển khai SharePoint tiếp xúc trực tiếp với internet, vốn rất phổ biến trong các môi trường doanh nghiệp cho mục đích cộng tác và quản lý tài liệu. Điểm yếu deserialization có thể đóng vai trò là điểm đột nhập ban đầu cho các nhóm điều hành mã độc tống tiền (ransomware operators). Mặc dù CISA chưa xác nhận liệu lỗ hổng này đang được sử dụng trong các chiến dịch ransomware, nguy cơ này vẫn hiện hữu và cần được xem xét nghiêm túc.
Các Biện pháp Giảm thiểu (Mitigation) từ CISA
Để đối phó với lỗ hổng CVE-2025-53770, CISA đã đưa ra một số khuyến nghị và hướng dẫn cụ thể cho các tổ chức.
Khuyến nghị Ưu tiên và Biện pháp Phòng ngừa
Khuyến nghị chính của CISA tập trung vào việc cấu hình tích hợp Anti-Malware Scan Interface (AMSI) trong các môi trường SharePoint và triển khai Microsoft Defender Antivirus trên tất cả các máy chủ SharePoint. AMSI là một giao diện tiêu chuẩn cho phép các ứng dụng và dịch vụ tích hợp với bất kỳ sản phẩm chống phần mềm độc hại nào được cài đặt trên hệ thống để quét nội dung. Việc tích hợp AMSI với SharePoint cho phép các giải pháp bảo mật phát hiện và chặn các nỗ lực thực thi mã độc hại tiềm ẩn, kể cả những mã nhắm mục tiêu vào lỗ hổng này.
Sự kết hợp giữa tích hợp AMSI và triển khai Microsoft Defender Antivirus cung cấp một lớp bảo vệ chủ động, giúp phát hiện và ngăn chặn các nỗ lực thực thi mã độc hại lợi dụng lỗ hổng CVE-2025-53770.
Biện pháp Khẩn cấp cho Hệ thống Tiếp xúc Internet
Đối với các tổ chức không thể ngay lập tức kích hoạt tích hợp AMSI, CISA đã ban hành hướng dẫn nghiêm ngặt hơn: ngắt kết nối tất cả các sản phẩm SharePoint đang tiếp xúc với dịch vụ internet cho đến khi các biện pháp giảm thiểu chính thức được phát hành. Khuyến nghị này nhấn mạnh tính chất cực kỳ nghiêm trọng của lỗ hổng và tiềm năng khai thác rộng rãi, đặc biệt là đối với các triển khai SharePoint có thể truy cập công khai từ internet.
Hướng dẫn Chung và Cập nhật Định kỳ
CISA cũng nhấn mạnh rằng một khi Microsoft phát hành các bản vá hoặc biện pháp giảm thiểu chính thức, các tổ chức phải áp dụng chúng ngay lập tức theo cả hướng dẫn của CISA và nhà cung cấp. Điều này bao gồm việc tuân thủ Binding Operational Directive (BOD) 22-01 đối với các dịch vụ đám mây (nếu có liên quan) và xem xét ngừng sử dụng sản phẩm nếu không thể triển khai các biện pháp giảm thiểu đầy đủ.
Tác động và Bài học cho An ninh mạng
Sự cố CVE-2025-53770 là một minh chứng rõ ràng cho những thách thức liên tục mà các tổ chức phải đối mặt với các lỗ hổng zero-day trong các phần mềm doanh nghiệp được triển khai rộng rãi. Khoảng thời gian cực kỳ ngắn giữa thời điểm phát hiện và yêu cầu khắc phục cho thấy bối cảnh mối đe dọa ngày càng phức tạp và đòi hỏi các tổ chức phải duy trì năng lực ứng phó sự cố mạnh mẽ.
Các đội ngũ an ninh nên theo dõi chặt chẽ các thông báo bảo mật từ Microsoft để cập nhật các bản vá chính thức và tiếp tục triển khai các biện pháp bảo vệ tạm thời được CISA khuyến nghị. Việc tuân thủ nghiêm ngặt các hướng dẫn này là cần thiết để giảm thiểu rủi ro phơi nhiễm với lỗ hổng nghiêm trọng này.
