-
09/04/2020
-
141
-
1.930 bài viết
Microsoft vá lỗ hổng SharePoint cho phép thực thi mã từ xa qua mạng
Microsoft vừa phát hành các bản cập nhật bảo mật nhằm khắc phục một lỗ hổng nghiêm trọng trong SharePoint Server có thể cho phép kẻ tấn công thực thi mã từ xa trên hệ thống. Điều đáng chú ý là tin tặc không cần quyền quản trị viên mà chỉ cần sở hữu tài khoản người dùng hợp lệ với quyền truy cập cơ bản là có thể khai thác lỗ hổng này để thực hiện các hành vi nguy hiểm.
Lỗ hổng được định danh là CVE-2026-45659, có điểm CVSS 8,8/10, được Microsoft đánh giá ở mức độ "Important" (Quan trọng). Dù hãng cho rằng khả năng bị khai thác thực tế không quá cao, các chuyên gia an ninh mạng vẫn khuyến nghị doanh nghiệp cần nhanh chóng triển khai bản vá do SharePoint từ lâu đã là mục tiêu ưa thích của các nhóm tấn công mạng.
Lỗ hổng CVE-2026-45659 là gì?
Theo thông tin từ Microsoft, CVE-2026-45659 là một lỗ hổng Deserialization of Untrusted Data (giải tuần tự dữ liệu không đáng tin cậy) trong nền tảng Microsoft Office SharePoint.
Trong các ứng dụng hiện đại, cơ chế serialization/deserialization thường được sử dụng để chuyển đổi dữ liệu giữa các định dạng khác nhau nhằm phục vụ lưu trữ hoặc truyền tải qua mạng. Tuy nhiên, nếu hệ thống xử lý dữ liệu đầu vào không được kiểm soát chặt chẽ, kẻ tấn công có thể chèn các đối tượng độc hại được thiết kế đặc biệt để buộc máy chủ thực thi những đoạn mã trái phép.
Chính lỗi xử lý dữ liệu này đã tạo điều kiện cho CVE-2026-45659 xuất hiện. Microsoft cho biết lỗ hổng được phát hiện và báo cáo bởi một nhà nghiên cứu bảo mật có bí danh MEOW.
Trong các ứng dụng hiện đại, cơ chế serialization/deserialization thường được sử dụng để chuyển đổi dữ liệu giữa các định dạng khác nhau nhằm phục vụ lưu trữ hoặc truyền tải qua mạng. Tuy nhiên, nếu hệ thống xử lý dữ liệu đầu vào không được kiểm soát chặt chẽ, kẻ tấn công có thể chèn các đối tượng độc hại được thiết kế đặc biệt để buộc máy chủ thực thi những đoạn mã trái phép.
Chính lỗi xử lý dữ liệu này đã tạo điều kiện cho CVE-2026-45659 xuất hiện. Microsoft cho biết lỗ hổng được phát hiện và báo cáo bởi một nhà nghiên cứu bảo mật có bí danh MEOW.
Cơ chế khai thác hoạt động như thế nào?
Khác với nhiều lỗ hổng thực thi mã từ xa yêu cầu quyền quản trị hoặc các điều kiện phức tạp, CVE-2026-45659 có thể bị khai thác bởi bất kỳ người dùng đã xác thực nào trong hệ thống.
Theo mô tả của Microsoft, kẻ tấn công chỉ cần sở hữu tài khoản SharePoint hợp lệ với quyền tối thiểu ở mức Site Member là có thể gửi các yêu cầu độc hại tới máy chủ SharePoint thông qua mạng.
Nếu quá trình xử lý dữ liệu diễn ra thành công, máy chủ sẽ thực thi mã do kẻ tấn công kiểm soát, từ đó mở đường cho nhiều hoạt động nguy hiểm như:
Theo mô tả của Microsoft, kẻ tấn công chỉ cần sở hữu tài khoản SharePoint hợp lệ với quyền tối thiểu ở mức Site Member là có thể gửi các yêu cầu độc hại tới máy chủ SharePoint thông qua mạng.
Nếu quá trình xử lý dữ liệu diễn ra thành công, máy chủ sẽ thực thi mã do kẻ tấn công kiểm soát, từ đó mở đường cho nhiều hoạt động nguy hiểm như:
- Cài đặt phần mềm độc hại trên máy chủ.
- Đánh cắp hoặc truy cập trái phép dữ liệu nội bộ.
- Thiết lập cửa hậu để duy trì quyền truy cập lâu dài.
- Sử dụng máy chủ bị xâm nhập làm bàn đạp tấn công các hệ thống khác trong mạng doanh nghiệp.
Do chỉ yêu cầu tài khoản người dùng thông thường, rào cản khai thác thấp hơn đáng kể so với nhiều lỗ hổng thực thi mã từ xa khác.
Những phiên bản SharePoint bị ảnh hưởng
Microsoft đã phát hành bản vá cho các phiên bản SharePoint On-Premises sau:
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Enterprise Server 2016
Hiện chưa có thông tin cho thấy dịch vụ SharePoint Online trên nền tảng Microsoft 365 bị ảnh hưởng bởi lỗ hổng này.
Vì sao doanh nghiệp cần đặc biệt quan tâm?
Trong nhiều năm qua, SharePoint liên tục trở thành mục tiêu của các nhóm tấn công mạng do đây là nền tảng lưu trữ và chia sẻ tài liệu quan trọng của hàng nghìn doanh nghiệp và tổ chức trên toàn thế giới.
Máy chủ SharePoint thường chứa:
Máy chủ SharePoint thường chứa:
- Tài liệu nội bộ doanh nghiệp.
- Hồ sơ khách hàng.
- Dữ liệu tài chính và kế hoạch kinh doanh.
- Thông tin nhân sự.
- Các tài liệu dự án và quy trình vận hành quan trọng.
Nếu bị chiếm quyền kiểm soát, hậu quả không chỉ dừng lại ở việc rò rỉ dữ liệu mà còn có thể dẫn đến gián đoạn hoạt động, mã hóa dữ liệu tống tiền hoặc trở thành điểm xâm nhập để kẻ tấn công lan rộng trong toàn bộ hệ thống CNTT.
SharePoint liên tiếp xuất hiện lỗ hổng bảo mật
Đây không phải lần đầu tiên SharePoint đối mặt với các vấn đề an ninh mạng nghiêm trọng. Tháng trước, Microsoft cũng đã phát hành bản vá cho lỗ hổng giả mạo (Spoofing) CVE-2026-32201 với điểm CVSS 6.5, đồng thời xác nhận lỗ hổng này đã bị khai thác trong các cuộc tấn công thực tế.
Việc các lỗ hổng SharePoint liên tục xuất hiện cho thấy nền tảng này vẫn là mục tiêu hấp dẫn đối với tội phạm mạng, đặc biệt tại các tổ chức sử dụng hệ thống SharePoint cục bộ (On-Premises).
Việc các lỗ hổng SharePoint liên tục xuất hiện cho thấy nền tảng này vẫn là mục tiêu hấp dẫn đối với tội phạm mạng, đặc biệt tại các tổ chức sử dụng hệ thống SharePoint cục bộ (On-Premises).
Doanh nghiệp cần làm gì để giảm thiểu rủi ro?
Các chuyên gia an ninh mạng khuyến nghị quản trị viên SharePoint cần triển khai bản vá mới nhất ngay khi có thể để loại bỏ nguy cơ bị khai thác.
Ngoài việc cập nhật hệ thống, các tổ chức nên:
Ngoài việc cập nhật hệ thống, các tổ chức nên:
- Rà soát toàn bộ tài khoản người dùng và loại bỏ các tài khoản không còn sử dụng.
- Áp dụng nguyên tắc phân quyền tối thiểu (Least Privilege).
- Bật cơ chế xác thực đa yếu tố (MFA) cho tài khoản quản trị.
- Theo dõi nhật ký truy cập để phát hiện các hoạt động bất thường.
- Triển khai giải pháp giám sát và phát hiện xâm nhập trên máy chủ SharePoint.
- Thường xuyên đánh giá bảo mật và kiểm thử lỗ hổng đối với hệ thống nội bộ.
Lỗ hổng CVE-2026-45659 một lần nữa cho thấy các nền tảng cộng tác doanh nghiệp như SharePoint vẫn là mục tiêu giá trị cao đối với tin tặc. Dù Microsoft đánh giá khả năng bị khai thác chưa ở mức cao, việc lỗ hổng cho phép thực thi mã từ xa chỉ với quyền người dùng cơ bản khiến rủi ro trở nên đáng lo ngại đối với các tổ chức đang vận hành SharePoint tại chỗ.
Trong bối cảnh các cuộc tấn công nhằm vào hạ tầng doanh nghiệp ngày càng gia tăng, việc cập nhật bản vá bảo mật kịp thời cùng với tăng cường giám sát hệ thống vẫn là biện pháp hiệu quả nhất để ngăn chặn các nguy cơ xâm nhập và bảo vệ dữ liệu quan trọng của tổ chức.
Trong bối cảnh các cuộc tấn công nhằm vào hạ tầng doanh nghiệp ngày càng gia tăng, việc cập nhật bản vá bảo mật kịp thời cùng với tăng cường giám sát hệ thống vẫn là biện pháp hiệu quả nhất để ngăn chặn các nguy cơ xâm nhập và bảo vệ dữ liệu quan trọng của tổ chức.