Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã phát đi cảnh báo nghiêm trọng về một chuỗi **khai thác lỗ hổng SharePoint** được đặt tên là “ToolShell”. Chuỗi tấn công này nhắm mục tiêu vào các máy chủ Microsoft SharePoint tại chỗ.

“ToolShell” khai thác nhiều **lỗ hổng CVE** nghiêm trọng, bao gồm:

• CVE-2025-49704: Lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE) qua lỗi tiêm mã (Code Injection, CWE-94).
• CVE-2025-49706: Lỗi xác thực không đúng cách thông qua giả mạo mạng (Improper Authentication, CWE-287).
• CVE-2025-53770: Lỗi khử chuỗi dữ liệu không tin cậy (Deserialization of Untrusted Data, CWE-502).
• CVE-2025-53771: Một lỗi xác thực không đúng cách khác (Improper Authentication, CWE-287).

Chi tiết Chuỗi **Khai thác Lỗ hổng SharePoint** “ToolShell”

Theo phân tích, các tác nhân đe dọa đã kết hợp CVE-2025-49706 với CVE-2025-49704 để giành quyền truy cập trái phép. Trong khi đó, CVE-2025-53770 và CVE-2025-53771 cho phép vượt qua các biện pháp giảm thiểu trước đó, tiềm ẩn khả năng duy trì quyền truy cập dai dẳng một cách lén lút.

Chuỗi tấn công này được liên kết với các tác nhân đe dọa như Linen Typhoon, Violet Typhoon và Storm-2603. Nó tạo điều kiện thuận lợi cho việc triển khai webshell, thực thi lệnh và đánh cắp dữ liệu, gây ra rủi ro đáng kể cho các tổ chức có các phiên bản SharePoint bị phơi nhiễm.

Phân tích Các Thành phần Tấn công

Báo cáo Phân tích Mã độc (MAR) của CISA, cụ thể là MAR-25-1132.c1.v1, mô tả chi tiết sáu tệp được sử dụng trong các cuộc tấn công này. Chúng bao gồm hai tệp .NET DLL được mã hóa Base64 và bốn tệp ASPX.

Tệp DLL độc hại

Các tệp DLL độc hại (ví dụ: bjcloiyq.dll và osvmhdfl.dll) sử dụng cơ chế Reflection để truy cập vào MachineKeySection trong System.Web.Configuration. Chúng trích xuất các khóa xác thực và giải mã cùng với các chi tiết hệ thống như ký tự ổ đĩa, tên người dùng và phiên bản hệ điều hành. Những thông tin này sau đó được định dạng và exfiltrate qua các tiêu đề HTTP tùy chỉnh như “X-TXT-NET”.

Tệp ASPX độc hại

Các tệp ASPX đóng vai trò quan trọng trong chuỗi **khai thác lỗ hổng SharePoint**:

• spinstall0.aspx: Trực tiếp xuất ra các khóa máy đã trích xuất.
• info3.aspx: Hoạt động như một dropper, giải mã và cài đặt một webshell độc hại (một biến thể khác của info3.aspx). Webshell này xử lý xác thực dựa trên cookie, thực thi lệnh thông qua cmd.exe hoặc PowerShell và tải lên tệp.
• spinstallb.aspx và spinstallp.aspx: Thực thi các lệnh PowerShell được mã hóa. Chúng sử dụng giải mã XOR với các khóa được mã hóa cứng để chạy payload và trả về đầu ra dưới dạng Base64, cho phép kiểm soát từ xa và lấy dấu vân tay hệ thống.

Những thành phần này thể hiện khả năng đánh cắp thông tin xác thực, trích xuất dữ liệu và cài đặt thêm mã độc. Đây là một mối đe dọa **remote code execution** đáng chú ý.

Biện pháp Phát hiện và Giảm thiểu Mối đe dọa

Để đối phó với chuỗi **khai thác lỗ hổng SharePoint** này, CISA đã cung cấp các quy tắc phát hiện **YARA** và **SIGMA** để xác định các mối đe dọa:

• Quy tắc YARA: Phát hiện các payload .NET được mã hóa và các DLL độc hại.
• Quy tắc SIGMA: Xác định các mẫu khai thác như yêu cầu HTTP đáng ngờ tới các đường dẫn /_layouts/.

Chi tiết về các quy tắc này và các thông tin kỹ thuật sâu hơn có sẵn trong Báo cáo Phân tích Mã độc của CISA: CISA Malware Analysis Report (MAR-25-1132.c1.v1).

Chỉ số IOCs (Indicators of Compromise)

CISA cũng cung cấp các chỉ số IOCs, bao gồm các địa chỉ IP cụ thể và băm tệp, để hỗ trợ việc **phát hiện xâm nhập** và săn lùng mối đe dọa. Các tổ chức nên sử dụng các IOC này để tăng cường khả năng phòng thủ.

Khuyến nghị Bảo mật

Các tổ chức được khuyến nghị mạnh mẽ thực hiện các bước sau để bảo vệ hệ thống khỏi chuỗi **khai thác lỗ hổng SharePoint** này:

• Áp dụng các bản vá bảo mật: Ngay lập tức cài đặt các bản vá được Microsoft cung cấp cho các lỗ hổng liên quan. Các máy chủ chưa được vá vẫn dễ bị tổn thương trước các cuộc tấn công chuỗi.
• Giám sát hoạt động bất thường: Theo dõi nhật ký SharePoint để phát hiện bất kỳ hoạt động đáng ngờ hoặc bất thường nào.
• Săn lùng mối đe dọa: Sử dụng các IOCs và quy tắc phát hiện do CISA cung cấp để chủ động săn lùng các dấu hiệu xâm nhập trong môi trường của mình.

Việc xem xét các tài liệu tham khảo bổ sung, như hướng dẫn của Microsoft về **CVE-2025-53770** và các lỗi khác trong chuỗi khai thác, được khuyến nghị để hiểu sâu hơn về cơ chế tấn công và các biện pháp giảm thiểu hiệu quả.