
CISA phát cảnh báo khẩn cấp: Ba lỗ hổng bảo mật trên SharePoint đang bị khai thác tích cực
CISA vừa đưa ra cảnh báo nghiêm trọng về ba lỗ hổng bảo mật trên Microsoft SharePoint đang bị tin tặc khai thác thực tế. Bài viết phân tích chi tiết các lỗ hổng, rủi ro tiềm ẩn và các biện pháp phòng vệ cần thiết cho đội ngũ quản trị hệ thống.
Bài viết được dịch và tổng hợp từ tin tức gốc. Bạn có thể đọc bài viết gốc bằng tiếng Anh tại đây.
Điểm tin nhanh:
- CISA xác nhận ba lỗ hổng SharePoint đang bị khai thác tích cực trong thực tế, đe dọa trực tiếp đến các hệ thống On-Prem.
- Các lỗ hổng bao gồm lỗi giả mạo (spoofing), thực thi mã từ xa (RCE) và leo thang đặc quyền, dẫn đến nguy cơ mất kiểm soát hệ thống.
- Quản trị viên cần khẩn trương cập nhật bản vá, kiểm tra cấu hình AMSI và rà soát các dấu hiệu xâm nhập bất thường.
Trong thế giới hạ tầng doanh nghiệp, SharePoint luôn là một mắt xích quan trọng nhưng cũng là mục tiêu hàng đầu của các cuộc tấn công mạng. Khi CISA - cơ quan an ninh mạng hàng đầu của Mỹ - lên tiếng cảnh báo về một nhóm lỗ hổng đang bị khai thác, đó không còn là vấn đề của riêng các đội ngũ vận hành hệ thống mà là hồi chuông cảnh báo cho toàn bộ cộng đồng công nghệ. Việc các lỗ hổng này bị lợi dụng để chiếm đoạt khóa máy chủ IIS và triển khai mã độc cho thấy mức độ tinh vi của các chiến dịch tấn công hiện nay.
Phân tích các lỗ hổng bảo mật đang bị khai thác
CISA đã chỉ đích danh ba lỗ hổng đang bị tin tặc tận dụng để thực hiện các hành vi hậu khai thác (post-exploitation). Dưới đây là bảng tổng hợp các lỗ hổng đáng chú ý:
| Mã định danh (CVE) | Điểm CVSS | Loại lỗ hổng | Trạng thái |
|---|---|---|---|
| CVE-2026-32201 | 6.5 | Spoofing | Đang bị khai thác |
| CVE-2026-45659 | 8.8 | Remote Code Execution (RCE) | Đang bị khai thác |
| CVE-2026-56164 | 5.3 | Privilege Escalation | Đang bị khai thác |

Chi tiết về các lỗ hổng nghiêm trọng
Lỗ hổng CVE-2026-45659 với điểm số 8.8 là mối đe dọa lớn nhất. Mặc dù ban đầu Microsoft đánh giá khả năng khai thác là thấp, thực tế đã chứng minh điều ngược lại khi tin tặc liên tục tìm cách chiếm quyền điều khiển từ xa. Bên cạnh đó, việc kết hợp các kỹ thuật deserialization để duy trì sự hiện diện (persistence) trong hệ thống là một dấu hiệu đặc trưng của các nhóm tấn công có tổ chức.
Nếu bạn đang quản trị hệ thống, việc xây dựng công cụ giám sát bảo mật Windows tối ưu hiệu năng là bước đi cần thiết để phát hiện sớm các hành vi bất thường. Đừng để hệ thống của bạn trở thành nạn nhân của những cuộc tấn công chuỗi cung ứng tương tự như những gì đã xảy ra với thư viện AsyncAPI bị tấn công.
Các biện pháp hardening hệ thống SharePoint
Để bảo vệ hạ tầng, CISA khuyến nghị các bước sau:
- Cập nhật bản vá: Áp dụng ngay các bản cập nhật bảo mật mới nhất từ Microsoft.
- Kích hoạt AMSI: Đảm bảo Antimalware Scan Interface (AMSI) được bật cho tất cả các ứng dụng web SharePoint.
- Xoay vòng khóa IIS: Thực hiện thay đổi khóa máy chủ IIS để vô hiệu hóa các khóa cũ có thể đã bị đánh cắp.
- Hạn chế quyền truy cập: Chặn quyền truy cập từ bên ngoài vào SharePoint Central Administration.
Mẹo hay: Việc thiết lập log chi tiết và tùy chỉnh là chìa khóa để phát hiện các nỗ lực khai thác sớm. Hãy tham khảo cách xây dựng hệ thống tự động hóa tái sử dụng nội dung để tối ưu hóa quy trình log và cảnh báo bảo mật.
Đánh giá & Lời khuyên Thực tiễn
Từ góc nhìn của một kỹ sư cấp cao, việc các lỗ hổng SharePoint liên tục xuất hiện cho thấy sự phức tạp trong việc duy trì các hệ thống On-Prem.
- Ưu điểm: Các bản vá từ Microsoft cung cấp giải pháp khắc phục triệt để nếu được triển khai đúng cách.
- Nhược điểm: Việc cập nhật thường xuyên có thể gây gián đoạn dịch vụ nếu không có quy trình kiểm thử (staging) tốt.
- Rủi ro: Các cuộc tấn công thường nhắm vào việc leo thang đặc quyền để chiếm quyền điều khiển toàn bộ domain. Nếu bạn đang vận hành các hệ thống phức tạp, hãy cân nhắc việc tối ưu hóa quy trình phát triển Web để đảm bảo các bản vá bảo mật được triển khai tự động và an toàn.
Câu hỏi thường gặp (FAQ)
Tại sao CISA lại quan tâm đặc biệt đến các lỗ hổng SharePoint này?
Vì SharePoint thường lưu trữ dữ liệu nhạy cảm của doanh nghiệp và việc chiếm quyền điều khiển máy chủ này có thể dẫn đến rò rỉ dữ liệu quy mô lớn hoặc triển khai ransomware.
Tôi nên làm gì nếu không thể cập nhật bản vá ngay lập tức?
Hãy cô lập máy chủ khỏi internet, hạn chế quyền truy cập vào Central Administration và tăng cường giám sát log để phát hiện các dấu hiệu bất thường.
Có công cụ nào để kiểm tra xem hệ thống đã bị xâm nhập chưa?
Bạn nên sử dụng các công cụ quét lỗ hổng chuyên dụng và rà soát các file log của IIS để tìm kiếm các request bất thường liên quan đến deserialization.
Kết luận
An ninh mạng không bao giờ là một đích đến, mà là một hành trình liên tục. Việc nắm bắt thông tin về các lỗ hổng như CVE-2026-45659 là bước đầu tiên để bảo vệ tài sản số của doanh nghiệp. Hãy luôn chủ động trong việc cập nhật, rà soát cấu hình và xây dựng một hệ thống phòng thủ nhiều lớp. Nếu bạn quan tâm đến việc bảo mật hạ tầng, hãy theo dõi hi_dev để cập nhật những kiến thức công nghệ mới nhất và các giải pháp bảo mật chuyên sâu.
Do you like this post?
Upvote to push this post higher on the community feed




