CẢNH BÁO CHIẾN DỊCH TẤN CÔNG LỢI DỤNG LỖ HỔNG CVE-2025-53770 TRÊN MICROSOFT SHAREPOINT
Đội ngũ Threat Intelligence của NCS ghi nhận chiến dịch tấn công mới khai thác lỗ hổng với mã đinh danh CVE-2025-53770 – được cho là biến thể của lỗ hổng CVE-2025-49706. Đây là lỗ hổng thực thi mã từ xa (RCE – Remote Code Execution) chưa có bản vá chính thức, ảnh hưởng trên diện rộng tới các hệ thống sử dụng SharePoint On-Premises toàn cầu.
Nhóm nghiên cứu trong quá trình giám sát ghi nhận tệp tin .aspx độc hại được upload lên máy chủ SharePoint, với request được ghi nhận trong IIS có những bất thường khi không cần xác thực (không có trường cs-username trong IIS log).
2025-07-18 18:xx:04 <proxy masked> POST /_layouts/15/ToolPane.aspx DisplayMode=Edit&a=/ToolPane.aspx 443 – <proxy masked> Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 /_layouts/SignOut.aspx 302 0 0 707
2025-07-18 18:xx:05 <proxy masked> GET /_layouts/15/spinstall0.aspx – 443 – <proxy masked> Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 /_layouts/SignOut.aspx 200 0 0 31
Webshell được upload trên máy chủ có tên spinstall0.aspx (92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514) tại đường dẫn C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx sử dụng với mục đích đánh cắp machinekey, bao gồm cả ValidationKey và DecryptionKey. Các khóa được sử dụng để tạo __VIEWSTATE chứa các payload nhằm thiết lập persistence và thực thi mã từ xa.
Khuyến nghị từ Microsoft
Trước tình hình lỗ hổng CVE-2025-53770 có nguy cơ bị khai thác trên diện rộng, Microsoft đã đưa ra một số biện pháp bảo vệ nhằm giúp các tổ chức tăng cường phòng thủ cho hệ thống SharePoint On-Premises:
- Kích hoạt tích hợp AMSI (Antimalware Scan Interface) trên SharePoint và triển khai Microsoft Defender Antivirus trên toàn bộ máy chủ SharePoint. Việc này giúp ngăn chặn các hành vi khai thác yêu cầu xác thực có liên quan đến lỗ hổng.
- Sử dụng các truy vấn trên Microsoft 365 Defender để chủ động kiểm tra và thực hiện hoạt động threat hunting, phát hiện sớm các dấu hiệu tấn công vào môi trường SharePoint.
DeviceFileEvents
| where FolderPath has “MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS”
| where FileName =~ “spinstall0.aspx”
or FileName has “spinstall0”
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Indicators of Compromise (IoCs)
Ngoài ra, Threat Intel NCS tổng hợp và cung cấp các IoCs tới quý khách hàng, nhằm bổ sung vào các thiết bị bảo mật cũng như kiểm tra trên hệ thống.
Indicators of Compromise (IoCs)
107.191.58[.]76 deploying spinstall0.aspx
104.238.159[.]149
96.9.125[.]147
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030 b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
NCS sẽ tiếp tục theo dõi chặt chẽ diễn biến liên quan đến lỗ hổng CVE-2025-53770 và sẽ cập nhật thông tin tới Quý khách hàng ngay khi có thêm dữ liệu mới được công bố.
Tài liệu tham chiếu:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770
