Một tin tức bảo mật mới nhất đáng chú ý là việc các nhà nghiên cứu bảo mật đã phát hành một mô-đun khai thác Metasploit nhắm mục tiêu vào các lỗ hổng zero-day nghiêm trọng trong Microsoft SharePoint Server. Sự phát triển này đánh dấu một sự leo thang đáng kể trong bức tranh đe dọa đối với các nền tảng cộng tác doanh nghiệp, làm gia tăng rủi ro bảo mật hệ thống trên diện rộng.
Phân tích Lỗ hổng CVE nguy hiểm và Mô-đun Khai thác Metasploit
Mô-đun này khai thác một chuỗi các lỗ hổng thực thi mã từ xa (RCE) không yêu cầu xác thực, được định danh là CVE-2025-53770 và CVE-2025-53771. Các lỗ hổng này đã được phát hiện đang bị khai thác tích cực trong thực tế từ ngày 19 tháng 7 năm 2025.
Mô-đun Metasploit mới được phát hành, do nhà nghiên cứu bảo mật sfewer-r7 tại Rapid7 phát triển, minh họa cách thức kẻ tấn công có thể đạt được quyền kiểm soát hệ thống hoàn toàn thông qua thành phần ToolPane của SharePoint mà không cần xác thực.
Các lỗ hổng này đại diện cho những kỹ thuật vượt qua bản vá tinh vi (patch bypasses) đối với hai lỗ hổng bảo mật đã được xử lý trước đó là CVE-2025-49704 và CVE-2025-49706. Điều này nhấn mạnh thách thức dai dẳng trong việc bảo vệ các ứng dụng web phức tạp trước các đối thủ quyết tâm.
Kỹ thuật khai thác tận dụng một vector tấn công deserialization (khử tuần tự hóa), cho phép thực thi mã từ xa thông qua một yêu cầu HTTP duy nhất.
Chi tiết Kỹ thuật Khai thác và Các Phiên bản Bị Ảnh hưởng
Theo tài liệu kỹ thuật, mô-đun Metasploit có thể triển khai nhiều loại payload khác nhau, bao gồm Meterpreter reverse shells và các khả năng thực thi lệnh chung. Các thử nghiệm đã chứng minh khả năng kiểm soát thành công các cài đặt SharePoint Server 2019, với khai thác đạt được đặc quyền SYSTEM-level trong môi trường mục tiêu.
Vector tấn công này nhắm mục tiêu cụ thể vào endpoint /_layouts/15/ToolPane.aspx, mặc dù các bản vá gần đây đã cố gắng chặn đường dẫn này. Các nhà nghiên cứu bảo mật đã lưu ý rằng một số cài đặt có thể yêu cầu các cách tiếp cận thay thế, chẳng hạn như nhắm mục tiêu /_layouts/15/start.aspx để trinh sát ban đầu, đặc biệt là trong các môi trường có bật Forms Based Authentication (FBA).
Thử nghiệm bảo mật đã xác nhận hiệu quả của mô-đun đối với các cài đặt SharePoint Server 2019 chạy phiên bản 16.0.10417.20027. Tuy nhiên, phạm vi đầy đủ của các phiên bản bị ảnh hưởng vẫn đang được điều tra.
Ảnh hưởng và Khuyến nghị Giảm thiểu Mối Đe Dọa An Ninh Mạng
Việc phát hành mô-đun Metasploit này làm giảm đáng kể rào cản gia nhập cho tội phạm mạng muốn khai thác môi trường SharePoint. Với việc SharePoint Server được triển khai rộng rãi trong các môi trường doanh nghiệp để quản lý tài liệu và cộng tác, các lỗ hổng này đặc biệt đáng lo ngại cho các tổ chức trên toàn thế giới.
Tính chất không yêu cầu xác thực của khai thác đồng nghĩa với việc kẻ tấn công có thể kiểm soát hệ thống mà không cần thông tin đăng nhập hợp lệ hoặc các chiến thuật kỹ thuật xã hội. Khả năng thực thi các lệnh tùy ý và thiết lập quyền truy cập từ xa liên tục của khai thác tạo ra những rủi ro đáng kể về đánh cắp dữ liệu, triển khai ransomware và di chuyển ngang (lateral movement) trong mạng công ty. Đây là một mối đe dọa an ninh mạng nghiêm trọng cần được xử lý ngay lập tức.
Khuyến nghị và Biện pháp Phòng thủ
Các tổ chức đang vận hành môi trường SharePoint nên đánh giá ngay lập tức mức độ phơi nhiễm của mình với các lỗ hổng này và triển khai các bản vá bảo mật có sẵn.
Mặc dù Microsoft đã phát hành các bản cập nhật để xử lý các lỗ hổng CVE-2025-49704 và CVE-2025-49706 ban đầu, nhưng các kỹ thuật bypass được minh họa trong khai thác này cho thấy có thể cần thêm các biện pháp bảo mật bổ sung. Phân đoạn mạng (Network segmentation), kiểm soát truy cập (access controls) và giám sát toàn diện các hoạt động của SharePoint là những chiến lược phòng thủ thiết yếu cho đến khi các bản vá toàn diện có sẵn cho các biến thể lỗ hổng mới nhất.
