CISA cảnh báo lỗ hổng RCE trên Microsoft SharePoint đang bị khai thác tích cực
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa lỗ hổng RCE nghiêm trọng trên Microsoft SharePoint (CVE-2026-45659) vào danh mục các lỗ hổng đã bị khai thác thực tế...
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa cập nhật danh mục các lỗ hổng đã bị khai thác thực tế (Known Exploited Vulnerabilities – KEV) bằng cách thêm vào lỗ hổng bảo mật nghiêm trọng trên Microsoft SharePoint Server, được định danh là CVE-2026-45659.
Với điểm CVSS là 8.8, lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE) thông qua kỹ thuật giải tuần tự hóa (deserialization) dữ liệu không tin cậy. Microsoft đã phát hành bản vá cho vấn đề này từ tháng 5/2026, áp dụng cho các phiên bản SharePoint Server Subscription Edition, SharePoint Server 2019 và SharePoint Enterprise Server 2016.
Theo cảnh báo từ Microsoft, một kẻ tấn công đã xác thực (authenticated attacker) chỉ cần có quyền tối thiểu là Site Member (PR:L) là có thể kích hoạt lỗ hổng này qua mạng mà không cần đặc quyền quản trị cao hơn. Trước tình hình bị khai thác tích cực, các cơ quan chính phủ Hoa Kỳ đã được yêu cầu áp dụng bản vá trước ngày 4/7/2026.
Mối đe dọa kép từ các nhóm tấn công
Trong một diễn biến liên quan, Microsoft cũng ghi nhận các chiến dịch tấn công phức tạp, nơi nhiều nhóm tin tặc hoạt động song song trong cùng một mạng lưới để che giấu dấu vết. Điển hình là nhóm Storm-2603, chuyên triển khai mã độc ransomware Warlock bằng cách khai thác các lỗ hổng trên SharePoint. Nhóm này thường sử dụng các công cụ như Velociraptor để ngụy trang hoạt động độc hại dưới danh nghĩa các tác vụ quản trị hợp lệ, đồng thời thiết lập kênh truy cập từ xa thông qua Cloudflare tunneling và SSH.
Đáng chú ý, các chuyên gia bảo mật còn phát hiện một nhóm tấn công thứ hai hoạt động độc lập trong cùng môi trường, sử dụng kỹ thuật DLL side-loading và các backdoor tùy chỉnh. Sự kết hợp giữa các chiến thuật ransomware truyền thống và các kỹ thuật ẩn mình tinh vi đã khiến việc ứng cứu sự cố và xác định phạm vi xâm nhập trở nên khó khăn hơn bao giờ hết.
Các chuyên gia bảo mật khuyến cáo các quản trị viên hệ thống cần kiểm tra ngay các bản cập nhật mới nhất cho SharePoint và rà soát các dấu hiệu bất thường trong hệ thống mạng để ngăn chặn nguy cơ bị chiếm quyền điều khiển.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.