Một lỗ hổng SharePoint nghiêm trọng mới đang bị khai thác tích cực trong các cuộc tấn công quy mô lớn trên toàn cầu. Lỗ hổng này cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn các máy chủ SharePoint on-premise mà không cần xác thực.
Lỗ hổng này, được Microsoft định danh chính thức là CVE-2025-53770, đại diện cho một biến thể của hai lỗ hổng bảo mật trước đó là CVE-2025-49706 và CVE-2025-49704, vốn đã được trình diễn lần đầu tại Pwn2Own Berlin vào tháng 5 năm 2025. Ảnh hưởng của lỗ hổng là rất nghiêm trọng, cho phép thực thi mã từ xa (RCE) mà không cần xác thực, dẫn đến việc kiểm soát hoàn toàn máy chủ bị ảnh hưởng.
Chiến dịch khai thác “ToolShell”
Các nhà nghiên cứu bảo mật tại Eye Security đã phát hiện chiến dịch khai thác đang diễn ra vào ngày 18 tháng 7 năm 2025. Chiến dịch này sử dụng một chuỗi khai thác tinh vi được đặt tên là “ToolShell”, vốn tận dụng các lỗ hổng đã được chứng minh tại Pwn2Own để đạt được khả năng thực thi mã từ xa.
Phân tích của Eye Security trên hơn 8.000 máy chủ SharePoint trên toàn thế giới đã tiết lộ hàng chục hệ thống bị xâm nhập. Các đợt tấn công được ghi nhận diễn ra vào khoảng 18:00 UTC ngày 18 tháng 7 và 07:30 UTC ngày 19 tháng 7. Thời gian biểu khai thác cho thấy kẻ tấn công đã nhanh chóng vũ khí hóa mã proof-of-concept (PoC) ngay sau buổi trình diễn bảo mật của Code White GmbH, biến nghiên cứu học thuật thành mối đe dọa thực tế chỉ trong vài ngày.
Phân tích kỹ thuật chuỗi khai thác “ToolShell”
Các cuộc tấn công nhắm mục tiêu cụ thể vào endpoint /_layouts/15/ToolPane.aspx, khai thác một cơ chế bỏ qua xác thực (authentication bypass) cho phép tải lên tệp tin không cần xác thực và thực thi mã. Khác với các cuộc tấn công web shell thông thường, khai thác ToolShell thể hiện sự tinh vi về mặt kỹ thuật đáng kể.
Kẻ tấn công triển khai một tệp ASPX độc hại có tên spinstall0.aspx. Tệp này có chức năng trích xuất các bí mật mã hóa từ các máy chủ SharePoint, đặc biệt là ValidationKey được sử dụng để ký các payload ViewState. Material khóa này cho phép kẻ tấn công tạo ra các yêu cầu hợp lệ, đã được ký, từ đó bỏ qua hoàn toàn các kiểm soát bảo mật.
Chuỗi khai thác phản ánh các kỹ thuật từ lỗ hổng CVE-2021-28474 năm 2021, tận dụng cơ chế deserialization của ViewState trong SharePoint để đạt được khả năng thực thi mã. Khi các khóa mã hóa được trích xuất, kẻ tấn công có thể sử dụng các công cụ như ysoserial để tạo ra các ViewState payload độc hại, biến bất kỳ yêu cầu SharePoint nào thành cơ hội thực thi mã từ xa.
Dấu hiệu nhận biết và hoạt động tấn công
Cuộc điều tra của Eye Security đã phát hiện các bản ghi IIS đáng ngờ cho thấy các yêu cầu POST tới ToolPane.aspx với một tiêu đề referer bất thường trỏ đến /_layouts/SignOut.aspx. Điều này cho thấy rằng khai thác vẫn có thể hoạt động ngay cả sau khi người dùng đăng xuất.
Các phát hiện của nhà nghiên cứu bảo mật @irsdl vào ngày 17 tháng 7 gợi ý rằng chính tiêu đề referer cụ thể này có thể đã biến lỗ hổng CVE-2025-49706 ban đầu thành biến thể nguy hiểm hơn là CVE-2025-53770.
Trạng thái hiện tại và khuyến nghị
Microsoft đã xác nhận việc khai thác đang diễn ra nhưng vẫn chưa phát hành bản vá bảo mật. Trung tâm phản ứng bảo mật của công ty đã thừa nhận mức độ nghiêm trọng trong khi chỉ cung cấp hướng dẫn phát hiện tạm thời.
Các nhà nghiên cứu của Eye Security nhấn mạnh rằng các tổ chức không nên chờ đợi các bản vá từ nhà cung cấp, vì mối đe dọa đang hoạt động và lây lan nhanh chóng. Cần chủ động thực hiện các biện pháp phòng ngừa và phát hiện ngay lập tức.
