New York, đã đưa ra một bản sửa lỗi khẩn cấp để đóng một lỗ hổng trong phần mềm SharePoint được sử dụng rộng rãi của Microsoft mà tin tặc đã khai thác để thực hiện các cuộc tấn công rộng rãi vào các doanh nghiệp và ít nhất là một số cơ quan chính phủ Hoa Kỳ.
Công ty đã đưa ra một cảnh báo cho khách hàng hôm thứ Bảy nói rằng họ đã biết về việc khai thác 0 ngày đang được sử dụng để tiến hành các cuộc tấn công và nó đang hoạt động để vá lỗi. Microsoft đã cập nhật hướng dẫn vào Chủ nhật với các hướng dẫn để khắc phục sự cố cho Phiên bản đăng ký SharePoint Server 2019 và SharePoint Server. Các kỹ sư vẫn đang làm việc trên một bản sửa lỗi cho phần mềm SharePoint Server 2016 cũ hơn.
Cũng xem | Cảng Seattle cảnh báo 90.000 người có dữ liệu bị xâm phạm trong cuộc tấn công mạng trên biển
Adam Meyers, phó chủ tịch cấp cao của Crowdstrike, một công ty an ninh mạng cho biết, bất cứ ai có một máy chủ SharePoint được lưu trữ đều gặp vấn đề. Đây là một lỗ hổng đáng kể.
Các công ty và cơ quan chính phủ trên thế giới sử dụng SharePoint để quản lý tài liệu nội bộ, tổ chức dữ liệu và hợp tác.
Khai thác không ngày nào là gì?
Khai thác không phải ngày là một cuộc tấn công mạng tận dụng lỗ hổng bảo mật chưa biết trước đây. “Zero-Day” đề cập đến thực tế là các kỹ sư bảo mật đã không có ngày nào để phát triển một bản sửa lỗi cho lỗ hổng.
Theo Cơ quan an ninh cơ sở hạ tầng và an ninh mạng của Hoa Kỳ (CISA), việc khai thác ảnh hưởng đến SharePoint là “một biến thể của lỗ hổng hiện tại CVE-2025-49706 và gây rủi ro cho các tổ chức có máy chủ SharePoint tại chỗ.
Các nhà nghiên cứu bảo mật cảnh báo rằng việc khai thác, được biết đến với cái tên là ToolShell, là một người nghiêm túc và có thể cho phép các tác nhân truy cập đầy đủ các hệ thống tệp SharePoint, bao gồm các dịch vụ được kết nối với SharePoint, như các nhóm và OneDrive.
Thêm | Người dùng phương tiện truyền thông xã hội đấu tranh để lấy lại quyền truy cập tài khoản sau khi bị hack
Nhóm tình báo mối đe dọa Google Google cảnh báo rằng lỗ hổng có thể cho phép các tác nhân xấu “bỏ qua việc vá lỗi trong tương lai.
Làm thế nào rộng rãi là tác động?
Eye Security cho biết trong bài đăng trên blog của mình rằng họ đã quét hơn 8.000 máy chủ SharePoint trên toàn thế giới và phát hiện ra rằng ít nhất hàng chục hệ thống đã bị xâm phạm. Công ty an ninh mạng cho biết các cuộc tấn công có thể bắt đầu vào ngày 18 tháng 7.
Microsoft cho biết lỗ hổng chỉ ảnh hưởng đến các máy chủ SharePoint tại chỗ được sử dụng trong các doanh nghiệp hoặc tổ chức và không ảnh hưởng đến dịch vụ trực tuyến SharePoint dựa trên đám mây của Microsoft.
Nhưng Michael Sikorski, CTO và Trưởng phòng Tình báo đe dọa cho Đơn vị 42 tại Palo Alto Networks, cảnh báo rằng việc khai thác vẫn khiến nhiều người có khả năng tiếp xúc với các diễn viên xấu.
Trong khi môi trường đám mây vẫn không bị ảnh hưởng, triển khai SharePoint tại chỗ-đặc biệt là trong chính phủ, trường học, chăm sóc sức khỏe bao gồm các bệnh viện và các công ty doanh nghiệp lớn-có nguy cơ ngay lập tức. ”
Bạn làm gì bây giờ?
Lỗ hổng nhắm mục tiêu phần mềm máy chủ SharePoint để khách hàng của sản phẩm đó sẽ muốn ngay lập tức làm theo hướng dẫn của Microsoft để vá các hệ thống tại chỗ của họ.
Mặc dù phạm vi của cuộc tấn công vẫn đang được đánh giá, CISA cảnh báo rằng tác động có thể được phổ biến và khuyến nghị rằng bất kỳ máy chủ nào bị ảnh hưởng bởi việc khai thác nên bị ngắt kết nối với Internet cho đến khi chúng được vá. Rút phích cắm Microsoft SharePoint của bạn ra khỏi Internet cho đến khi có một bản vá, Sik Sikorski khuyên.
chia sẽ trên Twitter: Tấn công SharePoint Khẩn cấp vá lỗi
