.jpg)
Các tin tặc đã sử dụng chuỗi khai thác này (được gọi là “ToolShell”) để xâm nhập vào hàng chục tổ chức trên thế giới sau khi tấn công vào máy chủ SharePoint on-premise.
Tin tặc Trung Quốc
Microsoft cho biết đã phát hiện hai tác nhân đe dọa Trung Quốc, bao gồm Linen Typhoon và Violet Typhoon, hiện đang khai thác các lỗ hổng này nhắm vào các máy chủ SharePoint kết nối Internet. Ngoài ra, gã khổng lồ công nghệ còn phát hiện một nhóm tin tặc khác từ Trung Quốc, được theo dõi là Storm-2603, cũng đang khai thác các lỗ hổng này.
“Chúng tôi đánh giá rằng ít nhất một trong những kẻ tấn công gây ra vụ tấn công này là một nhóm tin tặc có liên hệ với Trung Quốc. Điều quan trọng cần phải lưu ý rằng hiện có nhiều kẻ tấn công khác cũng đang tích cực khai thác lỗ hổng này", Charles Carmakal, Giám đốc Công nghệ của Mandiant Consulting thuộc Google Cloud cho biết.
Mới đây công ty an ninh mạng Eye Security (Hà Lan) phát hiện các cuộc tấn công zero-day khai thác lỗ hổng CVE-2025-49706 và CVE-2025-49704 trong thực tế (lỗ hổng này đã bị khai thác trong cuộc thi hack Pwn2Own Berlin 2025 từ các nhà nghiên cứu đến từ Việt Nam, Viettel Cyber Security).
Theo thống kê của Eye Security, ít nhất 54 tổ chức đã bị xâm phạm, bao gồm một số công ty đa quốc gia và các cơ quan chính phủ. Trong một diễn biến liên quan, ngày 21/7, công ty an ninh mạng Check Point (Mỹ) tiết lộ rằng họ phát hiện ra những dấu hiệu khai thác đầu tiên vào ngày 7/7, đồng thời cho biết thêm những kẻ tấn công đã nhắm mục tiêu vào các tổ chức chính phủ, viễn thông và phần mềm ở Bắc Mỹ và Tây Âu.
Microsoft đã vá hai lỗ hổng này trong bản cập nhật Patch Tuesday tháng 7/2025 và gán hai mã CVE mới (CVE-2025-53770 và CVE-2025-53771) cho các lỗ hổng zero-day, kẻ tấn công đã khai thác các lỗ hổng này để xâm nhập các máy chủ SharePoint đã được vá. Kể từ đó, Microsoft phát hành các bản vá khẩn cấp cho SharePoint Subscription Edition, SharePoint 2019 và SharePoint 2016 để giải quyết cả hai lỗ hổng thực thi mã từ xa (RCE).
Khai thác PoC hiện đã có sẵn
Sau khi Microsoft phát hành bản vá bảo mật cho tất cả các phiên bản SharePoint bị ảnh hưởng, một bằng chứng khai thác (PoC) đối với lỗ hổng CVE-2025-53770 đã được phát hành trên GitHub, điều này tạo điều kiện cho nhiều tác nhân đe dọa dễ dàng có cơ hội để tấn công hơn.
Trước động thái trên, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm lỗ hổng RCE CVE-2025-53770 vào danh mục Lỗ hổng khai thác đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng các bản vá sau khi chúng được phát hành.
“Hoạt động khai thác này được báo cáo công khai là ToolShell, cho phép kẻ tấn công có quyền truy cập đầy đủ vào nội dung SharePoint, bao gồm hệ thống tệp và cấu hình nội bộ, cũng như thực thi mã qua mạng mục tiêu. Microsoft đang phản ứng nhanh chóng, chúng tôi đang hợp tác với công ty này để thông báo cho các tổ chức có khả năng bị ảnh hưởng về các biện pháp giảm thiểu. CISA khuyến nghị tất cả các tổ chức có máy chủ Microsoft SharePoint on-premise thực hiện ngay các hành động giảm thiểu đó”, CISA cho biết.
Ngày 22/7, Microsoft chia sẻ các chỉ số xâm phạm (IOC) để giúp các tổ chức xác định máy chủ SharePoint có khả năng bị xâm phạm như sau:
- 134[.]199[.]202[.]205: Địa chỉ IP khai thác lỗ hổng SharePoint.
- 104[.]238[.]159[.]149: Địa chỉ IP khai thác lỗ hổng SharePoint.
- 188[.]130[.]206[.]168: Địa chỉ IP khai thác lỗ hổng SharePoint.
- 131[.]226[.]2[.]6: Địa chỉ tấn công Post-Exploitation;
- Spinstall0[.]aspx: Web shell được các tác nhân đe dọa sử dụng (còn được gọi là spinstall[.]aspx, spinstall1[.]aspx và spinstall2[.]aspx)
- c34718cbb4c6[.]ngrok-free[.]app/file[.]ps1: Đường hầm Ngrok cung cấp PowerShell cho máy chủ điều khiển và ra lệnh (C2).
