Lỗ hổng SharePoint CVE-2026-45659 bị khai thác thực tế, CISA yêu cầu vá khẩn cấp
- Evelyn Carter

- 3 ngày trước
- 6 phút đọc
CISA đã đưa lỗ hổng SharePoint CVE-2026-45659 vào danh sách KEV ngày 01/07/2026 sau khi ghi nhận khai thác thực tế. Lỗ hổng có điểm CVSS 8.8, cho phép thực thi mã từ xa trên Microsoft SharePoint Server khi kẻ tấn công có tài khoản xác thực quyền thấp.
Lỗ hổng SharePoint CVE-2026-45659 đang trở thành cảnh báo quan trọng với các tổ chức còn vận hành Microsoft SharePoint Server tại chỗ. Rủi ro không chỉ nằm ở việc máy chủ bị khai thác từ xa, mà còn ở khả năng sự cố ban đầu bị che lấp bởi nhiều nhóm tấn công cùng tồn tại trong cùng một môi trường mạng.
Lỗ hổng SharePoint CVE-2026-45659 là gì?
Lỗ hổng SharePoint CVE-2026-45659 là lỗi xử lý dữ liệu tuần tự hóa không đáng tin cậy trong Microsoft Office SharePoint. Theo NVD, lỗi này cho phép một kẻ tấn công đã được xác thực thực thi mã qua mạng. Điểm CVSS 3.1 là 8.8, thuộc mức High, với tác động cao đến tính bí mật, toàn vẹn và sẵn sàng của hệ thống.
Điểm đáng chú ý của lỗ hổng SharePoint này là không yêu cầu quyền quản trị. Bài phân tích của The Hacker News dẫn thông tin từ Microsoft cho biết kẻ tấn công chỉ cần tài khoản xác thực với quyền tối thiểu ở mức Site Member để khai thác qua mạng.

Vì sao lỗ hổng SharePoint bị đưa vào KEV lại đáng lo ngại?
Lỗ hổng SharePoint bị đưa vào KEV đồng nghĩa CISA đã ghi nhận bằng chứng khai thác ngoài thực tế, không còn là nguy cơ lý thuyết. NVD ghi nhận CVE-2026-45659 có trong CISA Known Exploited Vulnerabilities Catalog, được thêm ngày 01/07/2026. Hạn xử lý đối với các cơ quan liên bang dân sự Hoa Kỳ là ngày 04/07/2026.
Danh sách KEV thường được dùng như tín hiệu ưu tiên vá lỗi trong quản trị rủi ro. Khi một CVE xuất hiện trong danh sách này, doanh nghiệp cần xem đó là lỗ hổng đã có khả năng bị kẻ xấu nhắm tới, đặc biệt nếu hệ thống có thể truy cập từ internet hoặc phục vụ nhiều tài khoản nội bộ.
Với lỗ hổng SharePoint CVE-2026-45659, nguy cơ nằm ở ba yếu tố kết hợp: có thể khai thác qua mạng, chỉ cần quyền xác thực thấp và ảnh hưởng đến máy chủ cộng tác dữ liệu doanh nghiệp. Nếu trì hoãn bản vá, một tài khoản bị lộ mật khẩu hoặc bị chiếm quyền có thể trở thành điểm khởi đầu cho tấn công sâu hơn.
Những phiên bản SharePoint nào bị ảnh hưởng bởi CVE-2026-45659?
CVE-2026-45659 ảnh hưởng đến Microsoft SharePoint Enterprise Server 2016, SharePoint Server 2019 và SharePoint Server Subscription Edition trong các phiên bản chưa đạt mức cập nhật an toàn. NVD liệt kê các ngưỡng phiên bản bị ảnh hưởng, trong đó SharePoint Server Subscription Edition bị ảnh hưởng ở các bản thấp hơn 16.0.19725.20280.
Hacker có thể lợi dụng lỗ hổng SharePoint như thế nào?
Kịch bản được ghi nhận là kẻ tấn công có tài khoản hợp lệ gửi yêu cầu qua mạng để kích hoạt lỗi thực thi mã từ xa trên máy chủ SharePoint. NVD mô tả lỗ hổng là “Deserialization of Untrusted Data” trong Microsoft Office SharePoint, cho phép kẻ tấn công đã được ủy quyền thực thi mã qua mạng.
Với người không chuyên IT, có thể hình dung SharePoint giống một “kho làm việc chung” của doanh nghiệp. Nếu một tài khoản quyền thấp bị chiếm đoạt, kẻ tấn công có thể không dừng lại ở việc đọc tài liệu, mà còn tìm cách biến máy chủ thành bàn đạp để thực thi lệnh, duy trì truy cập hoặc mở rộng phạm vi xâm nhập.

Vụ ransomware Microsoft công bố liên quan gì đến rủi ro SharePoint?
Vụ việc Microsoft công bố cho thấy một cuộc điều tra ransomware có thể phức tạp hơn rất nhiều so với dấu hiệu ban đầu. Microsoft Incident Response phát hiện hai nhóm tấn công không liên quan cùng hoạt động đồng thời trong một môi trường mạng. Các nhóm này dùng kỹ thuật khác nhau để duy trì quyền truy cập, làm nhiễu tín hiệu điều tra và kéo dài thời gian hiện diện.
Sau khi có chỗ đứng, nhóm tấn công sử dụng Velociraptor với đặc quyền SYSTEM để lập bản đồ môi trường, rồi thiết lập nhiều kênh truy cập từ xa như Cloudflare tunneling, Zoho Assist, SSH và kết nối qua Visual Studio Code. Microsoft cũng ghi nhận việc tạo tài khoản quản trị cục bộ, tài khoản quản trị miền và dùng driver dễ bị tấn công để can thiệp khả năng bảo vệ đầu cuối.

Vì sao một hệ thống có thể có hai nhóm tin tặc cùng tồn tại?
Một hệ thống có thể bị nhiều nhóm tin tặc cùng khai thác khi có nhiều điểm yếu tồn tại song song, từ lỗ hổng phần mềm, tài khoản bị lộ đến công cụ quản trị từ xa bị lạm dụng. Microsoft cho biết trong vụ việc này, nhóm thứ hai sử dụng DLL side-loading và backdoor tùy chỉnh, không trùng với kỹ thuật của Storm-2603. Điều đó khiến việc quy kết, truy vết và đánh giá phạm vi ảnh hưởng trở nên khó hơn.
Bài học quan trọng từ vụ việc là không nên xử lý ransomware như một sự cố đơn lẻ. Nếu chỉ gỡ mã độc hoặc khôi phục máy chủ bị mã hóa mà không rà soát danh tính, endpoint, công cụ truy cập từ xa và đường di chuyển ngang, hệ thống có thể vẫn còn “cửa vào” chưa bị đóng.
Doanh nghiệp nên làm gì ngay sau cảnh báo lỗ hổng SharePoint?
Doanh nghiệp dùng SharePoint Server cần ưu tiên xác định phiên bản đang chạy, trạng thái bản vá và danh sách tài khoản có quyền truy cập. Với lỗ hổng SharePoint CVE-2026-45659, nhóm tài khoản Site Member trở lên cần được rà soát kỹ vì đây là mức quyền tối thiểu có thể liên quan đến kịch bản khai thác được mô tả.
Các hạng mục nên kiểm tra gồm: lịch sử cập nhật bản vá SharePoint, nhật ký truy cập bất thường, yêu cầu đến tệp cấu hình nhạy cảm, hoạt động tạo tài khoản quản trị mới, kết nối từ xa lạ và sự xuất hiện của công cụ như Cloudflare Tunnel, Zoho Assist hoặc Visual Studio Code Remote Tunnel nếu không thuộc chính sách vận hành.
Giải pháp bảo vệ “lá chắn số” từ IPSIP Việt Nam
Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm.

Kết hợp đánh giá lỗ hổng bảo mật để rà soát định kỳ các máy chủ SharePoint, hệ thống web nội bộ, endpoint và dịch vụ liên quan. Dịch vụ này phù hợp khi doanh nghiệp cần xác định nhanh điểm yếu có thể bị khai thác, ưu tiên bản vá theo mức độ rủi ro và giảm tình trạng “vá theo cảm tính”.
Với tổ chức cần giám sát liên tục, IPSIP Việt Nam đề xuất trung tâm điều hành an ninh mạng SOC 24/7 nhằm theo dõi log, cảnh báo truy cập bất thường, phát hiện dấu hiệu tạo tài khoản quản trị trái phép, công cụ remote access lạ và hành vi ransomware. SOC giúp khắc phục giới hạn lớn nhất của đội ngũ nội bộ: thiếu khả năng giám sát 24/7 và thiếu bức tranh tương quan giữa máy chủ, tài khoản, endpoint và mạng.
Nguồn tham khảo










Bình luận