Chiến dịch tấn công nhằm vào SharePoint đã bị phát hiện từ thứ 6 tuần trước và Trung tâm ứng phó các vấn đề bảo mật của Microsoft (MSRC) đã phát hành bản vá khẩn cấp các lỗ hổng có mã định danh CVE-2025-49706 và CVE-2025-49704 trên SharePoint. Lỗ hổng này tác động đến các máy chủ SharePoint tại chỗ (on-premise), không ảnh hưởng đến SharePoint Online trong Microsoft 365. Thông qua lỗ hổng này, tin tặc có thể truy cập các dịch vụ kết nối với SharePoint khác gồm Teams và OneDrive.

Công ty bảo mật Eye Security cho biết: "Một khi đã xâm nhập, tin tặc có thể truy cập tất cả nội dung lưu trên SharePoint, các tập tin hệ thống và Windows Domain. Do SharePoint thường được kết nối với các dịch vụ cốt lõi khác như Outlook, Teams và OneDrive nên tin tặc có thể đánh cắp dữ liệu, thu thập mật khẩu và lần mò giữa các máy tính hoặc hệ thống khác trong cùng mạng lưới của công ty."

Cuối tuần trước, kết quả rà quét từ Shadowserver Foundation đã phát hiện có gần 100 đơn vị chủ yếu tại Hoa Kỳ và Đức bị tấn công. Đến hôm qua, trụ sở Bộ an ninh nội địa (DHS), một số cơ quan thành phần của DHS, Bộ y tế và dịch vụ nhân sinh (HHS), Viện y tế quốc gia (NIH) đã xác nhận bị tấn công. Đến hôm qua, Eye Security cho biết số nạn nhân đã lên đến 400, có thể sẽ tiếp tục tăng và việc sử dụng ransomware để mã hóa dữ liệu sẽ gây gián đoạn hoạt động trên diện rộng. Theo dữ liệu từ Shodan, có hơn 8000 máy chủ có thể đã bị tin tặc xâm phạm về mặt lý thuyết trong khi Shadowpower ước tính có ít nhất 9000 máy chủ bị ảnh hưởng. Các máy chủ này thuộc về nhiều công ty công nghiệp lớn, ngân hàng, kiểm toán, dịch vụ chăm sóc sức khỏe và các tổ chức chính phủ cấp tiểu bang và quốc tế của Hoa Kỳ.

Microsoft cho biết đến thời điểm hiện tại, công ty đã phát hiện các nhóm Linen Typhoon và Violet Typhoon được cho là do Trung Quốc hậu thuẫn đang khai thác các lỗ hổng nhắm vào máy chủ SharePoint. Trong khi đó, nhóm tin tặc Storm-2603 đang triển khai ransomware thông qua các lỗ hổng này và hoạt động tấn công vẫn đang tiếp diễn. Trong bài đăng của Microsoft, công ty đã đưa ra hướng dẫn cập nhật bản vá cụ thể đồng thời liệt kê chi tiết về thủ pháp, các tập tin bị ảnh hưởng, ... Vì vậy các doanh nghiệp đang sử dụng SharePoint tại chỗ nên triển khai bản vá sớm nhất có thể để đảm bảo an toàn dữ liệu.