Hơn 17.000 máy chủ Microsoft SharePoint đã bị phơi nhiễm trước các cuộc tấn công mạng từ internet, bao gồm 840 hệ thống dễ bị tổn thương bởi một lỗ hổng zero-day SharePoint nghiêm trọng đang bị các nhóm tin tặc Trung Quốc tích cực khai thác.
Lỗ hổng này, được định danh CVE-2025-53770, và được các nhà nghiên cứu bảo mật đặt tên là “ToolShell”, đã ảnh hưởng đến hàng trăm tổ chức trong các lĩnh vực chính phủ, y tế, tài chính và giáo dục.
Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-53770 “ToolShell”
Lỗ hổng CVE-2025-53770 có điểm CVSS 9.8 (nghiêm trọng), cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý từ xa (remote code execution) trên các máy chủ SharePoint tại chỗ. Đây là một lỗ hổng CVE đặc biệt nguy hiểm do khả năng khai thác cao.
Chiến dịch tấn công bắt đầu vào ngày 7 tháng 7 năm 2025. Các nhà nghiên cứu đã quan sát thấy sự leo thang nhanh chóng sau khi lỗ hổng được phát hiện ban đầu.
Kẻ tấn công khai thác một chuỗi lỗ hổng phức tạp, hoàn toàn bỏ qua các cơ chế xác thực. Chúng gửi các yêu cầu POST được tạo thủ công đến điểm cuối ToolPane của SharePoint, triển khai các webshell độc hại thường được đặt tên là spinstall0.aspx và các biến thể khác.
POST /_layouts/15/ToolPane.aspx HTTP/1.1
Host: your-sharepoint-server.com
Content-Length: [length of malicious payload]
[malicious payload for webshell deployment]Các webshell này cho phép kẻ tấn công đánh cắp ASP.NET machine keys, cung cấp quyền truy cập liên tục ngay cả sau khi hệ thống được vá lỗi, duy trì quyền kiểm soát hệ thống bị xâm nhập.
Tình Hình Khai Thác Zero-Day và Đối Tượng Tấn Công
Phạm Vi Ảnh Hưởng và Số Liệu Thực Tế
Theo báo cáo của Shadowserver Foundation, hơn 17.000 địa chỉ IP chứa các phiên bản SharePoint đã bị phơi nhiễm. Trong số đó, 840 hệ thống được xác định là dễ bị tổn thương bởi lỗ hổng zero-day SharePoint CVE-2025-53770 (dựa trên phát hiện phiên bản). Đáng báo động hơn, ít nhất 20 máy chủ đã bị phát hiện có webshells đang hoạt động. Chi tiết có thể tham khảo thêm tại CybersecurityNews.
Eye Security, đơn vị đầu tiên báo cáo các cuộc tấn công vào ngày 18 tháng 7, đã xác nhận hơn 400 tổ chức nạn nhân. Tuy nhiên, các chuyên gia cảnh báo rằng số lượng thực tế có thể cao hơn nhiều do tính chất lén lút của các cuộc xâm nhập này.
Các Nhóm Tấn Công và Chiến Thuật
Microsoft đã quy trách nhiệm cho ba nhóm tin tặc Trung Quốc đứng sau các cuộc tấn công tinh vi này:
- Linen Typhoon (APT27)
- Violet Typhoon (APT31)
- Storm-2603
Storm-2603 đã leo thang mối đe dọa vượt ra ngoài việc đánh cắp dữ liệu bằng cách triển khai mã độc ransomware Warlock trên các hệ thống bị xâm nhập. Nhóm này sử dụng các kỹ thuật tinh vi bao gồm:
- Mimikatz để thu thập thông tin xác thực.
- Các công cụ di chuyển ngang như PsExec, thể hiện khả năng tấn công dai dẳng nâng cao (Advanced Persistent Threat – APT).
Nạn Nhân Đáng Chú Ý
Một số cơ quan liên bang của Hoa Kỳ đã trở thành nạn nhân của các cuộc tấn công này, bao gồm Cục Quản lý An ninh Hạt nhân Quốc gia thuộc Bộ Năng lượng, Bộ An ninh Nội địa, Bộ Y tế và Dịch vụ Nhân sinh, và Bộ Giáo dục.
Các cơ quan chính phủ cấp tiểu bang và địa phương trên toàn quốc cũng đã bị ảnh hưởng, làm dấy lên những lo ngại nghiêm trọng về các ý nghĩa an ninh quốc gia. Sự cố này cũng đã được CISA đưa vào danh mục Known Exploited Vulnerabilities (KEV) của mình với thời hạn khắc phục khẩn cấp, nhấn mạnh mối đe dọa nghiêm trọng đối với các hệ thống cơ sở hạ tầng thiết yếu trên toàn quốc.
Biện Pháp Giảm Thiểu và Khuyến Nghị Bảo Mật
Microsoft đã phát hành các bản vá khẩn cấp cho tất cả các phiên bản SharePoint được hỗ trợ để khắc phục lỗ hổng zero-day SharePoint này. Tuy nhiên, các chuyên gia an ninh mạng nhấn mạnh rằng chỉ vá lỗi thôi là không đủ.
Các tổ chức phải thực hiện các bước bổ sung ngay lập tức để giảm thiểu rủi ro và phát hiện các xâm nhập tiềm ẩn:
- Xoay vòng machine keys (rotate machine keys) ngay lập tức.
- Kích hoạt Anti-Malware Scan Interface (AMSI) để tăng cường khả năng phát hiện mã độc.
- Tiến hành các đánh giá bảo mật toàn diện để xác định bất kỳ sự xâm nhập tiềm tàng nào.
Để biết thêm thông tin chi tiết về lỗ hổng, có thể truy cập trang NVD của NIST: NVD – CVE-2025-53770.
