Microsoft xác nhận lỗ hổng nghiêm trọng trên SharePoint Server: Đã bị khai thác trong thực tế
Microsoft vừa phát hành bản vá bảo mật để khắc phục hai lỗ hổng nghiêm trọng ảnh hưởng đến hệ thống SharePoint Server on-premises (cài đặt tại chỗ), với cảnh báo rằng tin tặc đã khai thác lỗ hổng này trong các cuộc tấn công thực tế.
Hai lỗ hổng có mã định danh CVE-2025-53770 và CVE-2025-53771, không ảnh hưởng đến SharePoint Online, nhưng các tổ chức sử dụng SharePoint 2019 và SharePoint Subscription Edition (SSE) đang đối mặt với nguy cơ cao. Theo thông tin mới nhất từ Microsoft, bản vá cho SharePoint 2019 và Subscription Edition đã được phát hành và có thể cài đặt ngay.
Riêng SharePoint 2016 vẫn chưa có bản vá chính thức, Microsoft cho biết họ vẫn đang phát triển bản cập nhật và khuyến cáo người dùng tạm thời áp dụng các bản vá sẵn có, bật các biện pháp bảo vệ quan trọng và chuẩn bị cho bản cập nhật sắp tới.
Các lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (RCE) và cấy web shell lên máy chủ SharePoint. Microsoft xác nhận đã ghi nhận các cuộc tấn công có chủ đích lợi dụng hai lỗ hổng này. Dấu hiệu nhận biết máy chủ đã bị xâm nhập là sự xuất hiện của file đáng ngờ có tên spinstall0.aspx trong thư mục cài đặt SharePoint.
Các chuyên gia an ninh mạng khuyến cáo quản trị viên nên kiểm tra hệ thống ngay để phát hiện sớm dấu hiệu bị khai thác.
Microsoft nhấn mạnh rằng việc cài đặt bản vá là chưa đủ. Để đảm bảo an toàn tuyệt đối, người quản trị hệ thống cần:
Các bước này đặc biệt quan trọng với người dùng SharePoint Server 2019 và Subscription Edition, là những phiên bản đã có bản vá sẵn sàng.
Microsoft khuyến nghị người dùng thực hiện ngay các bước sau:
Các cảnh báo từ Microsoft Defender có thể bao gồm:
Bạn có thể sử dụng các truy vấn KQL để tìm kiếm các hành vi đáng ngờ như:
Nguồn tham khảo đầy đủ & chính thức:
Microsoft Security Response Center - CVE-2025-53770
Riêng SharePoint 2016 vẫn chưa có bản vá chính thức, Microsoft cho biết họ vẫn đang phát triển bản cập nhật và khuyến cáo người dùng tạm thời áp dụng các bản vá sẵn có, bật các biện pháp bảo vệ quan trọng và chuẩn bị cho bản cập nhật sắp tới.
Các lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (RCE) và cấy web shell lên máy chủ SharePoint. Microsoft xác nhận đã ghi nhận các cuộc tấn công có chủ đích lợi dụng hai lỗ hổng này. Dấu hiệu nhận biết máy chủ đã bị xâm nhập là sự xuất hiện của file đáng ngờ có tên spinstall0.aspx trong thư mục cài đặt SharePoint.
Các chuyên gia an ninh mạng khuyến cáo quản trị viên nên kiểm tra hệ thống ngay để phát hiện sớm dấu hiệu bị khai thác.
Microsoft nhấn mạnh rằng việc cài đặt bản vá là chưa đủ. Để đảm bảo an toàn tuyệt đối, người quản trị hệ thống cần:
- Xoay lại machine key (khóa máy).
- Khởi động lại dịch vụ IIS sau khi vá lỗi.
- Kiểm tra hệ thống định kỳ để phát hiện web shell hoặc tệp lạ.
Các bước này đặc biệt quan trọng với người dùng SharePoint Server 2019 và Subscription Edition, là những phiên bản đã có bản vá sẵn sàng.
Tình hình cập nhật bản vá
| Phiên bản SharePoint | Tình trạng | KB cập nhật | Link tải |
|---|---|---|---|
| SharePoint Subscription Edition | ✅ Đã có bản vá | KB5002768 | Tải tại đây |
| SharePoint Server 2019 | ✅ Đã có bản vá | KB5002754 / KB5002741 | Tải tại đây |
| SharePoint Server 2016 | 🔧 Đang phát triển bản vá | Chưa có | Đang cập nhật |
Hướng dẫn bảo vệ hệ thống
Microsoft khuyến nghị người dùng thực hiện ngay các bước sau:
- Nâng cấp lên phiên bản SharePoint được hỗ trợ: 2016, 2019 hoặc Subscription Edition.
- Cài đặt bản vá bảo mật tháng 7/2025.
- Bật AMSI (Antimalware Scan Interface): tích hợp với Defender Antivirus để chặn khai thác.
- Triển khai Microsoft Defender for Endpoint: để phát hiện các hành vi sau khai thác như chạy PowerShell bị mã hóa từ w3wp.exe.
- Xoay vòng (rotate) máy khóa ASP.NET machine keys:
- Qua PowerShell: Update-SPMachineKey
- Qua Central Admin → Timer Job “Machine Key Rotation Job”
- Khởi động lại IIS: iisreset.exe trên toàn bộ máy chủ SharePoint.
Các cảnh báo từ Microsoft Defender có thể bao gồm:
- Possible web shell installation
- Suspicious IIS worker process behavior
- ‘HijackSharePointServer’ malware was blocked
- File spinstall0.aspx xuất hiện trong LAYOUTS
Bạn có thể sử dụng các truy vấn KQL để tìm kiếm các hành vi đáng ngờ như:
- Việc tạo ra file spinstall0.aspx
- Việc w3wp.exe sinh ra PowerShell có mã hóa
Nguồn tham khảo đầy đủ & chính thức:
Microsoft Security Response Center - CVE-2025-53770