Tìm hiểu lỗ hổng bảo mật SharePoint, và vì sao Microsoft bị hacker tấn công nghiêm trọng đến vậy

Đăng lúc 20:19 27.07.2025

Máy chủ đám mây phục vụ rất nhiều đơn vị và doanh nghiệp trên toàn thế giới của Microsoft lại bị tấn công.

Trong những tuần gần đây, các tin tặc đã lợi dụng các lỗ hổng trong SharePoint, một hệ thống quản lý tài liệu do Microsoft phát triển và vận hành, để cố gắng đánh cắp thông tin nhạy cảm từ hàng trăm nạn nhân.

Vào ngày 22/7, Microsoft lên tiếng cáo buộc những nhóm hacker từ Trung Quốc đã xâm nhập vào các hệ thống máy chủ phục vụ doanh nghiệp và cơ quan chính phủ ở Mỹ và trên toàn thế giới. Danh sách các nạn nhân đã được liệt kê bao gồm Bộ Giáo dục Mỹ và Cơ quan An ninh Hạt Nhân Quốc gia, cơ quan chịu trách nhiệm bảo vệ vũ khí hạt nhân của Mỹ.

Các chuyên gia an ninh mạng cho biết quy mô chiến dịch gián điệp trên không gian mạng, được đo bằng số lượng nạn nhân và mức độ nhạy cảm của thông tin bị xâm phạm, có thể chưa được hiểu đầy đủ trong nhiều tháng hoặc thậm chí nhiều năm tới.

Hacker đã khai thác các lỗ hổng SharePoint như thế nào?

SharePoint là một sản phẩm ứng dụng lưu trữ dữ liệu và cộng tác, cho phép các thành viên của một tổ chức chia sẻ và truy cập thông tin từ nhiều thiết bị khác nhau. Vì phần mềm này được vận hành trực tuyến, nên các tin tặc có thể quét internet để tìm kiếm các máy chủ chứa những dòng code bị lỗi. Việc tấn công tự động vào càng nhiều hệ thống dễ bị tổn thương cũng là điều phổ biến, đó là lý do tại sao số lượng nạn nhân bị tấn công thông qua lỗ hổng này có thể nhanh chóng tăng lên.

Microsoft cho biết các cuộc tấn công đối với một số khách hàng SharePoint đã khai thác hai lỗ hổng trong phần mềm của mình. Lỗ hổng đầu tiên là “giả mạo” (spoofing), xảy ra khi hệ thống máy tính không xác minh đúng danh tính người dùng.

Trong trường hợp của SharePoint, một lỗi trong quá trình xác thực danh tính đã cho phép các tin tặc truy cập vào các máy chủ dễ bị tấn công bằng cách giả làm người dùng hợp pháp. Lỗ hổng thứ hai cho phép những kẻ tấn công đóng vai người dùng có quyền truy cập cao cài đặt phần mềm độc hại lên các máy chủ SharePoint từ xa, cho phép chúng đánh cắp dữ liệu.

Một số máy chủ SharePoint được khách hàng lưu trữ trên hệ thống IT của riêng họ, và một số khác được lưu trữ trên cơ sở hạ tầng điện toán đám mây của Microsoft. Chỉ những máy chủ vận hành thông qua phiên bản trước đó mới bị ảnh hưởng bởi các cuộc tấn công mạng vào trung tuần tháng 7 vừa qua.

Ai là tin tặc đã tấn công Microsoft?

Trong một tuyên bố, Microsoft cáo buộc các nhóm hacker Trung Quốc, được đặt tên là Linen Typhoon và Violet Typhoon đã khai thác những lỗ hổng này, cùng với Storm-2603, nhóm tin tặc được đánh giá là có khả năng cao đến từ Trung Quốc. Microsoft cho biết vào ngày 23/7 rằng các tin tặc cũng đã sử dụng các lỗ hổng phần mềm để khởi động các cuộc tấn công ransomware.

Violet Typhoon là một nhóm gián điệp lâu năm nhắm mục tiêu vào các quan chức chính phủ và nhân viên quân sự hàng đầu trên toàn thế giới. Linen Typhoon, trái lại, nổi tiếng với việc đánh cắp quyền sở hữu trí tuệ.

Những người dùng nào bị ảnh hưởng?

Công ty an ninh mạng Hà Lan Eye Security ước tính rằng 400 cơ quan chính phủ, tập đoàn và các nhóm khác đã bị xâm phạm trong các cuộc tấn công trên toàn thế giới. Theo những người thân cận với vấn đề này cho Bloomberg, bao gồm các cơ quan chính phủ ở Mỹ, Châu Âu và Trung Đông.

Tính riêng tại Mỹ, tin tặc đã có được quyền truy cập vào các hệ thống thuộc về Cơ quan An ninh Hạt Nhân Quốc gia, Bộ Giáo dục, Sở Thuế vụ Florida và Hội đồng Lập pháp Rhode Island, theo những người có hiểu biết về vấn đề này nhưng không được phép công khai danh tính.

Các tin tặc cũng đã xâm phạm hệ thống của một nhà cung cấp dịch vụ chăm sóc sức khỏe ở Hoa Kỳ và nhắm mục tiêu một trường đại học công lập ở Đông Nam Á, theo một báo cáo từ một công ty an ninh mạng yêu cầu không nêu tên do tính nhạy cảm của thông tin.

Báo cáo này không tiết lộ tên nhà cung cấp dịch vụ chăm sóc sức khỏe hoặc trường đại học nhưng cho biết các tin tặc đã cố gắng xâm nhập vào máy chủ ở Brazil, Canada, Indonesia, Tây Ban Nha, Nam Phi, Thụy Sĩ, Vương quốc Anh và Mỹ, cùng một số các quốc gia khác. Danh sách các nạn nhân được mở rộng vào ngày 23/7, có thêm Bộ Tài chính Nam Phi. Cơ quan này cho biết họ đang tìm kiếm sự trợ giúp từ Microsoft sau khi phát hiện phần mềm độc hại trên hệ thống mạng của mình.

Tin tặc đã tiếp cận những thông tin gì?

Mức độ các hacker đánh cắp dữ liệu hiện tại vẫn còn chưa rõ ràng. Cuộc tấn công vào Cơ quan An ninh Hạt Nhân Quốc gia không được biết là đã làm lộ gần như mọi thông tin nhạy cảm hoặc tuyệt mật, theo một nguồn tin yêu cầu giấu tên.

Một phát ngôn viên của Sở Thuế vụ Florida, Bethany Wester Cutillo, cho biết trong một email rằng các lỗ hổng SharePoint đang được điều tra “ở cấp độ chính quyền” nhưng cơ quan nhà nước này “không bình luận công khai về phần mềm chúng tôi sử dụng để vận hành”.

Các chiến dịch gián điệp trên không gian mạng tương tự trong quá khứ đã cho phép các tin tặc thu thập rất nhiều loại thông tin, chẳng hạn như quyền truy cập vào tài khoản email và bí mật kinh doanh, thứ có thể có giá trị đối với chính phủ nước ngoài. Hiện tại vẫn còn quá sớm để biết những loại thông tin nào đã bị xâm phạm.

Microsoft đã phản ứng như thế nào?

Sau khi phát hiện ra hai lỗ hổng SharePoint vào tháng 5 trong một cuộc thi hack tổ chức ở Berlin, Microsoft đã công bố các bản vá vào ngày 8/7 nhưng cuối cùng không đủ để ngăn chặn các cuộc tấn công đối với phần mềm. Đáp lại điều này, công ty đã công bố các bản vá tiếp theo, cùng với hướng dẫn chi tiết về cách tìm kiếm dấu hiệu nhiễm bệnh, hai tuần sau đó.

Hackers-target-Microsoft-SharePoint-servers-used-by-governments-scaled-e1753066629626.webp

Hackers-target-Microsoft-SharePoint-servers-used-by-governments-scaled-e1753066629626.webp

Các bản vá chỉ bảo vệ các máy chủ chưa bị tin tặc xâm nhập. Nhưng trong khi các lỗ hổng SharePoint đã cho phép các tin tặc xâm phạm hàng trăm tổ chức, thì khoảng thời gian cho các cuộc tấn công trên quy mô lớn đang nhanh chóng kết thúc, theo Curt Dukes, Phó Chủ tịch điều hành và Giám đốc quản lý bảo mật của Trung tâm An ninh Internet (CIS).

“Bây giờ khi tất cả đều đang nhanh chóng tải xuống các bản vá, sự cố này sẽ sớm kết thúc,” ông nói.

Microsoft đã từng gặp phải sự cố an ninh trong quá khứ chưa?

Một phần vì sản phẩm phần mềm trực tuyến của Microsoft được sử dụng rộng rãi trên toàn thế giới, chúng thường xuyên trở thành mục tiêu khai thác lỗ hổng của các cuộc tấn công mạng, và quyền truy cập vào các hệ thống có thể mang lại lượng dữ liệu khổng lồ.

Một nhóm tin tặc Trung Quốc từng bị cáo buộc đột nhập vào tài khoản email của Cựu Bộ trưởng Thương mại Mỹ, Gina Raimondo, Đại sứ Mỹ tại Trung Quốc Nicholas Burns và hàng trăm người khác vào năm 2023. Một đánh giá của chính phủ Hoa Kỳ sau đó cáo buộc Microsoft có “một chuỗi dài những thất bại về bảo mật và an ninh mạng".

View attachment 8321232

Năm 2024, các tin tặc do nhà nước Nga tài trợ đã lục soát một số hộp thư email của khách hàng Microsoft.

Dưới áp lực phải ngăn chặn những thất bại về an ninh mạng trong quá khứ, Microsoft đã công bố cam kết tăng cường bảo mật trong những năm gần đây.