Các chuyên gia an ninh mạng đã quan sát thấy kẻ tấn công đang cố gắng khai thác lỗ hổng bảo mật mới được tiết lộ gần đây ảnh hưởng đến Apache Struts, có thể mở đường cho việc thực thi mã từ xa.
Hình minh họa
Hình minh họa
- Điểm CVSS: 9.8/10; Mức độ: Rất nghiêm trọng;
- Lỗ hổng khai thác lỗi bỏ qua xác thực được kích hoạt bằng cách đặt header “Referer” thành “/_layouts/SignOut.aspx”. Sau đó được khai thác để kích hoạt thực thi mã từ xa thông qua tập tin độc hại “/_layouts/15/ToolPane.aspx”.
- Lỗ hổng ảnh hưởng đến các phiên bản Microsoft SharePoint Server 2019 và Microsoft SharePoint Enterprise Server 2016. Biện pháp khắc phục lỗ hổng là cập nhật các bản vá hoặc sử dụng các biện pháp giảm thiểu nguy cơ tấn công. Ngày 21/7/2025, Microsoft đã đưa ra các bản vá bảo mật cần thiết (tham khảo trang web của hãng:
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/.
Tác động:
- Mã độc cho phép đối tượng tấn công thực thi mã từ xa, hacker có thể "chui" vào máy chủ mà không cần mật khẩu. Sản phẩm này của Microsoft được sử dụng phổ biến trong các hệ thống thông tin cơ quan, tổ chức nhà nước; ngân hàng, tổ chức tài chính, tập đoàn, doanh nghiệp và các công ty lớn.
- Mã độc sẽ ẩn mình, lợi dụng các cơ chế nội bộ để giả dạng yêu cầu hợp lệ, rất khó xử lý, vì sau khi bị khai thác, hacker có thể dùng khóa đã ăn cắp để tiếp tục tấn công, ngay cả khi hệ thống đã vá lỗi.
Khuyến nghị:
- Kích hoạt tích hợp AMSI (Antimalware Scan Interface) trên SharePoint và triển khai Microsoft Defender Antivirus trên toàn bộ máy chủ SharePoint. Việc này giúp ngăn chặn các hành vi khai thác yêu cầu xác thực có liên quan đến lỗ hổng.
- Sử dụng các truy vấn trên Microsoft 365 Defender để chủ động kiểm tra và thực hiện hoạt động threat hunting, phát hiện sớm các dấu hiệu tấn công vào môi trường SharePoint.
* Tài liệu tham chiếu: