CISA cảnh báo lỗ hổng zero-day RCE trên Microsoft SharePoint đang bị khai thác tích cực
CISA đã đưa lỗ hổng nghiêm trọng CVE-2026-58644 trên Microsoft SharePoint vào danh mục KEV sau khi xác nhận nó bị khai thác thực tế như một zero-day.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa bổ sung một lỗ hổng bảo mật nghiêm trọng trên Microsoft SharePoint Server vào danh mục Các lỗ hổng đã bị khai thác (KEV). Các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) bắt buộc phải áp dụng bản vá trước ngày 19 tháng 7 năm 2026.
Lỗ hổng được nhắc đến là CVE-2026-58644, với điểm CVSS đạt mức tối đa 9.8. Đây là lỗi deserialization dữ liệu không đáng tin cậy, cho phép kẻ tấn công không cần xác thực thực thi mã từ xa (RCE). Theo Microsoft, một kẻ tấn công chỉ cần có quyền tối thiểu là Site Owner đã có thể chèn và chạy mã tùy ý trên SharePoint Server.
Microsoft nhấn mạnh rằng lỗ hổng này có thể bị khai thác từ xa qua internet với độ phức tạp thấp, do kẻ tấn công không cần kiến thức chuyên sâu về hệ thống và có thể thực hiện tấn công lặp lại một cách dễ dàng. Các phiên bản bị ảnh hưởng bao gồm: SharePoint Server Subscription Edition, SharePoint Server 2019 và SharePoint Enterprise Server 2016.
Mặc dù bản vá đã được phát hành trong đợt Patch Tuesday ngày 14 tháng 7 năm 2026, Microsoft xác nhận rằng CVE-2026-58644 đã bị khai thác trong thực tế như một zero-day trước khi bản vá có sẵn.
CISA cũng cảnh báo về một chuỗi các lỗ hổng SharePoint khác đang bị lạm dụng để chiếm quyền truy cập trái phép, đánh cắp khóa máy IIS (IIS machine keys) và triển khai malware để duy trì sự hiện diện trong hệ thống. Để đảm bảo an toàn, CISA khuyến nghị các tổ chức thực hiện các biện pháp cứng hóa sau:
- Ưu tiên áp dụng các bản cập nhật bảo mật mới nhất từ Microsoft.
- Kích hoạt tích hợp Antimalware Scan Interface (AMSI) cho các ứng dụng web SharePoint.
- Quét và loại bỏ các dấu vết xâm nhập, đồng thời xoay vòng khóa máy IIS.
- Thiết lập cơ chế ghi nhật ký (logging) chuyên biệt để phát hiện các hoạt động khai thác.
- Hạn chế tối đa việc để SharePoint Server tiếp xúc trực tiếp với internet.
- Chặn truy cập từ bên ngoài vào SharePoint Central Administration và kiểm soát chặt chẽ các cổng kết nối.
Ngoài ra, CISA cũng vừa cập nhật hai lỗ hổng nghiêm trọng khác trên Fortinet FortiSandbox (CVE-2026-25089 và CVE-2026-39808) vào danh mục KEV do ghi nhận các hoạt động khai thác thực tế.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.