Cảnh báo khẩn: Lỗ hổng CVE-2026-20963 trên Microsoft SharePoint bị khai thác

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vừa đưa lỗ hổng CVE-2026-20963 liên quan đến Microsoft SharePoint vào danh mục các lỗ hổng bị khai thác trong thực tế (Known Exploited Vulnerabilities - KEV).

Đây là lỗ hổng Thực thi mã từ xa (RCE) cho phép tin tặc chiếm quyền kiểm soát hệ thống máy chủ doanh nghiệp mà không cần tương tác phức tạp từ người dùng. Các tổ chức tại Việt Nam đang sử dụng SharePoint làm nền tảng lưu trữ nội bộ cần thực hiện rà soát và cập nhật bản vá ngay lập tức để tránh rủi ro rò rỉ dữ liệu nhạy cảm.

1. Phân tích kỹ thuật lỗ hổng CVE-2026-20963

CVE-2026-20963 được xác định là một lỗi nghiêm trọng nằm trong cách Microsoft SharePoint xử lý các đối tượng trong bộ nhớ.

• Loại lỗ hổng: Remote Code Execution (RCE) - Thực thi mã từ xa.

• Cơ chế khai thác: Tin tặc gửi các gói tin được tạo đặc biệt đến máy chủ SharePoint bị ảnh hưởng. Nếu thành công, kẻ tấn công có thể chạy các lệnh tùy ý với đặc quyền của tài khoản dịch vụ SharePoint, dẫn đến việc thỏa hiệp toàn bộ hạ tầng Active Directory của doanh nghiệp.

• Mức độ nghiêm trọng: Được đánh giá ở mức High/Critical do khả năng khai thác từ xa và mức độ ảnh hưởng diện rộng đến tính toàn vẹn của dữ liệu.

2. CISA cảnh báo sự gia tăng tấn công vào SharePoint và Zimbra

Theo báo cáo mới nhất từ The Hacker News và Security Week, không chỉ SharePoint mà các nền tảng cộng tác như Zimbra cũng đang nằm trong tầm ngắm của các nhóm tin tặc có tổ chức (APT).

Việc CISA bổ sung lỗ hổng này vào danh sách KEV là một "báo động đỏ". Các cuộc tấn công thực tế đã được ghi nhận, trong đó tin tặc lợi dụng sự chậm trễ trong việc cập nhật bản vá của các quản trị viên hệ thống để cài đặt backdoor, mã hóa dữ liệu đòi tiền chuộc (Ransomware).

3. Tác động tiềm tàng đối với doanh nghiệp Việt Nam

Nếu không được khắc phục, lỗ hổng này có thể gây ra các thiệt hại khôn lường:

• Thất thoát dữ liệu chiến lược: Toàn bộ tài liệu đấu thầu, sơ đồ nhân sự và dữ liệu khách hàng trên SharePoint bị đánh cắp.

• Gián đoạn vận hành: Hệ thống bị tê liệt do bị tin tặc chiếm quyền điều khiển.

• Ảnh hưởng uy tín: Doanh nghiệp đối mặt với các vấn đề pháp lý và mất niềm tin từ đối tác khi để lộ lọt thông tin.

4. Giải pháp khắc phục và phòng ngừa từ chuyên gia IPSIP

Để đảm bảo an toàn tuyệt đối trước mã lỗi CVE-2026-20963, các tổ chức cần triển khai ngay lộ trình 3 bước sau:

Bước 1: Cập nhật bản vá khẩn cấp

Truy cập trung tâm cập nhật của Microsoft để tải và cài đặt bản vá mới nhất cho các phiên bản SharePoint Server đang sử dụng. Đây là biện pháp tiên quyết và quan trọng nhất.

Bước 2: Rà soát lỗ hổng hệ thống (Pentest)

Sử dụng dịch vụ Đánh giá an ninh mạng chuyên sâu của IPSIP để xác định xem hệ thống đã từng bị xâm nhập bởi lỗ hổng này hay chưa. Việc rà soát các dấu hiệu thỏa hiệp (IoCs) sẽ giúp loại bỏ các "mầm mống" mã độc nằm vùng.

Bước 3: Triển khai giải pháp giám sát SOC 24/7

Hệ thống SharePoint cần được giám sát liên tục để phát hiện các hành vi gửi gói tin bất thường. IPSIP cung cấp giải pháp Giám sát an ninh mạng (SOC) giúp cảnh báo tức thì các nỗ lực khai thác lỗ hổng mới.

Lỗ hổng CVE-2026-20963 không còn là nguy cơ trên lý thuyết mà đã trở thành vũ khí thực tế của tin tặc. Các doanh nghiệp Việt Nam cần chủ động thay đổi tư duy từ "phản ứng" sang "phòng ngừa" để bảo vệ tài sản số của mình.

Nguồn tham khảo:

• Adsecvn: Cảnh báo khẩn cấp lỗ hổng CVE-2026-20963 bị khai thác nghiêm trọng

• The Hacker News: CISA Warns of Active Exploitation of SharePoint Flaw

• Security Week: CISA Adds SharePoint Vulnerability to KEV Catalog