Microsoft đã chính thức xác nhận hai lỗ hổng zero-day SharePoint nghiêm trọng, được gọi chung là ToolShell, đang bị các tác nhân đe dọa đa dạng khai thác tích cực. Các tác nhân này bao gồm từ tội phạm mạng cơ hội đến các nhóm tác chiến mạng có tổ chức (APT) cấp quốc gia.
Bộ ToolShell bao gồm hai lỗ hổng chính yếu:
- CVE-2025-53770: Đây là một lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE) với mức độ nghiêm trọng cao. Lỗ hổng này cho phép những kẻ tấn công không xác thực có khả năng thực thi mã tùy ý trên các máy chủ bị ảnh hưởng.
- CVE-2025-53771: Là một lỗ hổng giả mạo máy chủ. Lỗ hổng này tạo điều kiện thuận lợi cho việc bỏ qua các cơ chế xác thực như xác thực đa yếu tố (Multi-Factor Authentication – MFA) và đăng nhập một lần (Single Sign-On – SSO).
Các vấn đề bảo mật này chỉ ảnh hưởng đến các phiên bản SharePoint Server được hỗ trợ, bao gồm SharePoint Server 2016, 2019 và Subscription Edition. Đáng chú ý, SharePoint Online trong Microsoft 365 không bị ảnh hưởng bởi các lỗ hổng này.
Kỹ Thuật Khai Thác Zero-Day và Chuỗi Tấn Công
Quá trình khai thác zero-day này bắt đầu bằng việc kẻ tấn công kết hợp ToolShell với các lỗ hổng đã được vá trước đó, cụ thể là CVE-2025-49704 và CVE-2025-49706. Sự kết hợp này nhằm mục đích đạt được quyền truy cập ban đầu và triển khai các webshell duy trì trên hệ thống mục tiêu.
Chuỗi tấn công này cho phép các tác nhân đe dọa xâm nhập vào các hệ thống bị hạn chế, trích xuất dữ liệu nhạy cảm. Đồng thời, chúng có khả năng mở rộng phạm vi tấn công sang các dịch vụ tích hợp của Microsoft như Office, Teams, OneDrive và Outlook. Điều này làm gia tăng đáng kể phạm vi ảnh hưởng của cuộc tấn công trong các mạng lưới doanh nghiệp.
Tình Hình Khai Thác Toàn Cầu và Đối Tượng Tấn Công
Dữ liệu đo từ xa cho thấy các cuộc tấn công đang diễn ra rộng rãi trên toàn cầu. Hoa Kỳ chiếm 13.3% số vụ việc được ghi nhận. Tiếp theo là các vụ phát hiện ở Đức, Ý và các khu vực khác trên thế giới.
Đặc biệt, các nhóm APT có liên kết với Trung Quốc, bao gồm LuckyMouse, đã tích hợp ToolShell vào hoạt động của chúng. LuckyMouse là một nhóm nổi tiếng với các hoạt động nhắm mục tiêu vào các chính phủ, tổ chức viễn thông và các tổ chức quốc tế. Bằng chứng về việc triển khai backdoor trên một hệ thống tại Việt Nam đã bị xâm nhập đã chứng minh sự tham gia của nhóm này.
Theo các nhà nghiên cứu của ESET, mặc dù vectơ lây nhiễm chính xác vẫn chưa được xác định rõ ràng, sự hiện diện của phần mềm độc hại như vậy cho thấy khả năng hệ thống đã bị xâm nhập trước đó hoặc đã bị lợi dụng trong quá trình khai thác zero-day cơ hội.
Biện Pháp Giảm Thiểu và Bản Vá Bảo Mật
Microsoft đã phát hành các bản vá bảo mật toàn diện thông qua các bản cập nhật bảo mật tích lũy (ví dụ: KB5002768 cho Subscription Edition). Các bản vá này giúp giảm thiểu hoàn toàn cả hai CVE khi được áp dụng cùng với việc kích hoạt Antimalware Scan Interface (AMSI) ở chế độ đầy đủ. Ngoài ra, việc xoay vòng khóa máy ASP.NET bằng các lệnh PowerShell như Set-SPMachineKey và Update-SPMachineKey, sau đó là khởi động lại IIS, là cần thiết để hoàn tất quá trình khắc phục.
Thông tin chi tiết về các bản vá có thể tham khảo từ nguồn tin đáng tin cậy của ESET.
Hoạt Động Sau Khai Thác và IOCs
Sau khi khai thác thành công, những kẻ tấn công thường triển khai các webshell độc hại dựa trên ASP.NET. Một ví dụ điển hình là spinstall0.aspx, được theo dõi là MSIL/Webshell.JS với SHA-1 là F5B60A8EAD96703080E73A1F79C3E70FF44DF271. Webshell này cho phép thực thi lệnh thông qua cmd.exe và trích xuất dữ liệu.
Các biến thể webshell bổ sung được quan sát bao gồm ghostfile346.aspx, ghostfile399.aspx, ghostfile807.aspx, ghostfile972.aspx và ghostfile913.aspx. Chúng thường được ghi vào các thư mục Web Server Extensions của SharePoint.
Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Các chỉ số thỏa hiệp liên quan đến các cuộc tấn công lỗ hổng zero-day SharePoint này bao gồm:
- Tên Webshell độc hại:
spinstall0.aspxghostfile346.aspxghostfile399.aspxghostfile807.aspxghostfile972.aspxghostfile913.aspx
- SHA-1 Hash:
F5B60A8EAD96703080E73A1F79C3E70FF44DF271(cho MSIL/Webshell.JS / spinstall0.aspx)
- Địa chỉ IP khai thác:
154.223.19.106(Kaopu Cloud HK Limited)141.164.60.10(The Constant Company, LLC)
- Tên phát hiện của Microsoft Defender:
Exploit:Script/SuspSignoutReq.ATrojan:PowerShell/MachineKeyFinder.DA!amsi
- Nhóm APT liên quan:
LuckyMouse(APT có liên kết với Trung Quốc)
Các cuộc tấn công này liên quan đến các lệnh PowerShell được mã hóa, được tạo ra bởi các tiến trình w3wp.exe, nhắm mục tiêu vào các thư mục layouts để cài đặt backdoor.
Phát Hiện và Săn Lùng Mối Đe Dọa
Microsoft Defender Antivirus phát hiện các hành vi liên quan dưới các tên như Exploit:Script/SuspSignoutReq.A và Trojan:PowerShell/MachineKeyFinder.DA!amsi. Trong khi đó, Defender for Endpoint cảnh báo về các tiến trình làm việc IIS đáng ngờ và các cài đặt webshell tiềm ẩn.
Các truy vấn săn lùng nâng cao trong Microsoft 365 Defender, chẳng hạn như quét DeviceFileEvents để tìm các tệp spinstall0.aspx được tạo hoặc DeviceProcessEvents để tìm các lệnh cmd.exe bất thường với tải trọng được mã hóa base64, hỗ trợ trong việc xác định các hệ thống bị xâm nhập.
// Ví dụ truy vấn Advanced Hunting trong Microsoft 365 Defender:
DeviceFileEvents
| where FileName =~ "spinstall0.aspx"
| where ActionType == "FileCreated"
| project Timestamp, DeviceName, FolderPath, FileName, InitiatingProcessCommandLine
DeviceProcessEvents
| where FileName =~ "cmd.exe"
| where InitiatingProcessFileName =~ "w3wp.exe"
| where ProcessCommandLine has_all ("/c", "powershell", "-e")
| project Timestamp, DeviceName, InitiatingProcessCommandLine, ProcessCommandLine
Khuyến Nghị Bảo Mật và Phòng Ngừa Cuộc Tấn Công
Đối với các hệ thống chưa được vá, Microsoft khuyến nghị ngắt kết nối khỏi internet hoặc định tuyến lưu lượng truy cập qua các proxy/VPN đã được xác thực. Để chống lại các mối đe dọa đang diễn ra từ lỗ hổng zero-day SharePoint, các tổ chức cần thực hiện ngay lập tức các biện pháp sau:
- Nâng cấp lên các phiên bản SharePoint được hỗ trợ: Đảm bảo hệ thống của bạn đang chạy các phiên bản SharePoint còn được Microsoft hỗ trợ.
- Áp dụng các bản cập nhật mới nhất ngay lập tức: Triển khai tất cả các bản vá bảo mật tích lũy được phát hành bởi Microsoft.
- Đảm bảo tích hợp AMSI: AMSI đã được kích hoạt mặc định kể từ các bản cập nhật tháng 9 năm 2023. Tuy nhiên, cần xác minh và đảm bảo nó đang hoạt động ở chế độ đầy đủ.
- Triển khai bảo vệ điểm cuối: Sử dụng các giải pháp bảo vệ điểm cuối mạnh mẽ như Microsoft Defender for Endpoint.
- Xoay vòng khóa máy: Thực hiện xoay vòng khóa máy ASP.NET để vô hiệu hóa mọi thông tin xác thực có thể đã bị đánh cắp.
Với việc các nhóm APT nhanh chóng tận dụng và sự đơn giản trong kỹ thuật khai thác, các môi trường chưa được vá vẫn phải đối mặt với rủi ro cao. Dự kiến sẽ có sự gia tăng các cuộc tấn công cơ hội nhằm khai thác “bữa tiệc” khai thác này cho các tác nhân đe dọa.
