Một lỗ hổng bảo mật nghiêm trọng có mã định danh CVE-2025-53770 đã được phát hiện trong các máy chủ Microsoft SharePoint. Lỗ hổng này là một loại Remote Code Execution (RCE) không yêu cầu xác thực, đặt ra rủi ro đáng kể cho các tổ chức đang triển khai SharePoint tại chỗ (on-premise).
Cụ thể, lỗ hổng CVE-2025-53770 ảnh hưởng đến các máy chủ SharePoint chưa được cập nhật với các bản vá bảo mật của Microsoft: KB5002768 và KB5002754. Việc thiếu các bản vá này tạo ra một bề mặt tấn công tiềm năng lớn, bởi lẽ nhiều tổ chức có thể chưa áp dụng kịp thời các bản cập nhật quan trọng này vào cơ sở hạ tầng SharePoint của mình. Tình trạng này khiến các hệ thống dễ bị tổn thương trước các cuộc tấn công từ xa, cho phép kẻ tấn công thực thi mã độc mà không cần thông tin xác thực hợp lệ.
Để đối phó với mối đe dọa này, nhà nghiên cứu bảo mật người Bỉ Niels Hofmans, được biết đến với tên GitHub “**hazcod**”, đã phát hành một công cụ quét mã nguồn mở mới. Công cụ này được thiết kế đặc biệt để phát hiện CVE-2025-53770, cung cấp một phương tiện quan trọng giúp các tổ chức đánh giá tình trạng bảo mật của mình và ưu tiên các nỗ lực vá lỗi cần thiết. Công cụ quét này được công bố chỉ vài giờ sau khi chi tiết về lỗ hổng được tiết lộ công khai, minh chứng cho sự phản ứng nhanh chóng của cộng đồng an ninh mạng.
Công Cụ Quét Phát Hiện CVE-2025-53770
Công cụ quét do Niels Hofmans phát triển là một tài nguyên quan trọng cho các đội ngũ an ninh mạng. Nó hoạt động bằng cách tìm cách khai thác lỗ hổng thông qua việc đưa một “marker” (dấu hiệu) không gây hại vào widget SharePoint ToolBox. Nếu marker này xuất hiện trong phản hồi của máy chủ, hệ thống sẽ được đánh dấu là dễ bị tổn thương. Cơ chế này cung cấp bằng chứng rõ ràng về khả năng bị tấn công cho quản trị viên mà không gây bất kỳ thiệt hại nào cho hệ thống mục tiêu, đảm bảo an toàn trong quá trình đánh giá.
Một điểm đáng chú ý là công cụ này được phát triển bằng cách đảo ngược kỹ thuật (reverse-engineering) các tải trọng độc hại được quan sát trong các nỗ lực khai thác thực tế. Điều này không chỉ thể hiện mức độ nghiêm trọng của mối đe dọa mà còn chứng minh tính hiệu quả của công cụ trong việc nhận diện các mẫu tấn công đã biết. Ngoài ra, công cụ quét còn có khả năng trích xuất thông tin phiên bản SharePoint, giúp quản trị viên hiểu rõ hơn về hồ sơ phơi nhiễm của hệ thống.
Công cụ được thiết kế để dễ sử dụng, yêu cầu mức độ chuyên môn kỹ thuật tối thiểu để vận hành. Các tổ chức có thể chạy công cụ quét trên các triển khai SharePoint của họ bằng cách sử dụng các tham số dòng lệnh, bao gồm các tùy chọn để ghi nhật ký chi tiết và phát hiện phiên bản.
Cơ Chế Khai Thác và Tác Động Kỹ Thuật
Lỗ hổng CVE-2025-53770 là sự phát triển dựa trên một lỗ hổng SharePoint đã được tiết lộ trước đó là CVE-2025-49706. Điều này cho thấy sự tiến hóa trong các kỹ thuật tấn công nhắm vào nền tảng hợp tác của Microsoft.
Cơ chế khai thác lỗ hổng này cho phép kẻ tấn công đạt được Remote Code Execution bằng cách gửi các yêu cầu HTTP POST được tạo thủ công đến giao diện SharePoint ToolPane. Vector tấn công liên quan đến việc thao túng các tham số biểu mẫu, đặc biệt là tham số **MSOTlPn_DWP**, chứa dữ liệu cấu hình web part.
Các tác nhân đe dọa đã được quan sát khai thác lỗ hổng này để thực thi các lệnh PowerShell trên các hệ thống bị xâm nhập. Khả năng thực thi lệnh từ xa không xác thực này cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ SharePoint, dẫn đến các hậu quả nghiêm trọng như rò rỉ dữ liệu, cài đặt phần mềm độc hại, hoặc sử dụng máy chủ làm bàn đạp cho các cuộc tấn công tiếp theo trong mạng nội bộ. Việc phát hiện các hoạt động khai thác thực tế này nhấn mạnh tính cấp bách để các tổ chức đánh giá mức độ phơi nhiễm của mình một cách nhanh chóng.
Hướng Dẫn Sử Dụng Công Cụ Quét
Công cụ quét được thiết kế để dễ dàng triển khai từ dòng lệnh. Mặc dù các lệnh cụ thể sẽ phụ thuộc vào bản cập nhật mới nhất trên kho lưu trữ GitHub, nguyên tắc chung bao gồm việc chỉ định URL mục tiêu và các tùy chọn bổ sung nếu cần.
Để chạy công cụ, quản trị viên thường cần cài đặt các phụ thuộc cần thiết (nếu có, ví dụ: Python và các thư viện liên quan) và sau đó thực thi công cụ với URL của máy chủ SharePoint mục tiêu. Các tùy chọn dòng lệnh có thể bao gồm:
* Chỉ định URL của máy chủ SharePoint.
* Bật chế độ ghi nhật ký chi tiết (verbose logging) để theo dõi quá trình quét.
* Kích hoạt chức năng phát hiện phiên bản để thu thập thông tin về phiên bản SharePoint đang chạy.
Ví dụ về lệnh thực thi (có thể thay đổi tùy theo phiên bản công cụ):
python3 sharepoint_scanner.py --target https://your-sharepoint-server.com --verbose --get-version
Sau khi chạy lệnh, công cụ sẽ tiến hành kiểm tra lỗ hổng và hiển thị kết quả. Nếu máy chủ được xác định là dễ bị tấn công, công cụ sẽ đưa ra cảnh báo rõ ràng. Quá trình này không gây tổn hại cho hệ thống, đảm bảo an toàn cho việc đánh giá liên tục trong môi trường sản xuất.
Khuyến Nghị và Biện Pháp Khắc Phục
Sự phát triển và phát hành nhanh chóng của công cụ quét này nhấn mạnh cách tiếp cận hợp tác của cộng đồng an ninh mạng trong việc giảm thiểu các mối đe dọa. Bằng cách cung cấp công cụ miễn phí trên GitHub, Niels Hofmans đã cung cấp cho các tổ chức trên toàn thế giới khả năng đánh giá lỗ hổng tức thì.
Các chuyên gia bảo mật khuyến nghị mạnh mẽ rằng các tổ chức đang chạy máy chủ SharePoint tại chỗ nên sử dụng ngay lập tức công cụ quét này để đánh giá mức độ phơi nhiễm của mình và ưu tiên các nỗ lực vá lỗi. Việc có sẵn công cụ phát hiện này, kết hợp với bằng chứng về việc khai thác tích cực, khiến cho việc khắc phục nhanh chóng trở nên cực kỳ quan trọng để duy trì tư thế bảo mật của tổ chức.
Việc vá lỗi (patching) các bản cập nhật KB5002768 và KB5002754 là biện pháp phòng thủ chính yếu để loại bỏ lỗ hổng CVE-2025-53770. Ngoài ra, việc thường xuyên kiểm tra lỗ hổng và giám sát các hoạt động bất thường trên máy chủ SharePoint là cần thiết để phát hiện và ứng phó kịp thời với các mối đe dọa mới nổi. Công cụ quét này là một tài nguyên quan trọng cho các đội ngũ an ninh mạng đang nỗ lực bảo vệ môi trường SharePoint của họ trước mối đe dọa này.
