Chuyên gia Việt nhận 100.000 USD nhờ phát hiện ra lỗ hổng SharePoint

Microsoft viết trong một bài đăng blog rằng, ngay từ ngày 7.7, hai nhóm hacker Trung Quốc mà công ty Mỹ gọi là Linen Typhoon và Violet Typhoon đã cố gắng khai thác lỗ hổng đó, cùng với một nhóm khác ở quốc gia châu Á này mang tên Storm-2603.

SharePoint là nền tảng phần mềm do Microsoft phát triển, chủ yếu được sử dụng để lưu trữ, chia sẻ, quản lý tài liệu và hợp tác nội bộ trong các tổ chức, doanh nghiệp. Nói cách khác, SharePoint giống mạng nội bộ, nơi mọi người trong công ty có thể truy cập các file tài liệu, chia sẻ thông tin, cộng tác trên cùng một dự án và làm việc nhóm một cách hiệu quả hơn.

Ngày 24.7, ông Charles Carmakal, Giám đốc công nghệ của nhóm tư vấn an ninh mạng Mandiant thuộc Google, viết trên LinkedIn rằng: “Chúng tôi đánh giá rằng ít nhất một trong những tác nhân khai thác sớm lỗ hổng này là nhóm đe dọa có liên hệ với Trung Quốc”.

Hôm 20.7, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cho biết “nhận được thông tin về việc lỗ hổng đang bị khai thác tích cực” và Microsoft đã phát hành bản vá cho hai phiên bản SharePoint được cài đặt, vận hành trên hệ thống máy chủ nội bộ doanh nghiệp thay vì chạy trên nền tảng đám mây của công ty. Một bản vá cho phiên bản thứ ba được phát hành ngày 21.7.

Một bản vá bảo mật do Microsoft phát hành vào đầu tháng 7 này đã không thể khắc phục triệt để một lỗ hổng nghiêm trọng trong SharePoint, vốn được phát hiện tại một cuộc thi tấn công mạng hồi tháng 5.

Lỗ hổng chưa được xử lý triệt để này đã mở đường cho một chiến dịch gián điệp mạng quy mô toàn cầu, theo dòng sự kiện được hãng tin Reuters thu thập và phân tích.

Người phát ngôn của Microsoft xác nhận rằng giải pháp ban đầu của công ty đã không hiệu quả. Người này cho biết thêm Microsoft đã phát hành thêm các bản vá khác để khắc phục hoàn toàn vấn đề.

Chiến dịch tấn công đang diễn ra đã nhắm vào khoảng 100 tổ chức chỉ riêng cuối tuần qua và được dự báo sẽ tiếp tục leo thang khi nhiều nhóm hacker khác nhập cuộc.

Nhà nghiên cứu của Viettel phát hiện lỗ hổng nghiêm trọng trong SharePoint

Lỗ hổng tạo điều kiện cho vụ tấn công lần này lần đầu tiên được phát hiện vào tháng 5 tại một cuộc thi tấn công mạng ở Berlin (thủ đô Đức), do hãng an ninh mạng Trend Micro (Nhật Bản) tổ chức. Cuộc thi này trao thưởng tiền mặt cho những người phát hiện ra lỗi phần mềm trong các nền tảng phổ biến.

Trend Micro treo thưởng 100.000 USD cho các lỗ hổng zero-day (chưa từng được công bố và có thể bị khai thác ngay lập tức) nhắm vào SharePoint.

Tại sự kiện, một nhà nghiên cứu đến từ bộ phận an ninh mạng của tập đoàn Viettel (Việt Nam) đã phát hiện lỗ hổng trong SharePoint, đặt tên là ToolShell, và trình diễn cách khai thác nó, theo Reuters.

Theo bài đăng trên X của chương trình Zero Day Initiative thuộc Trend Micro, nhà nghiên cứu này đã được trao thưởng 100.000 USD cho phát hiện nói trên.

Trong một tuyên bố, Trend Micro nói rằng việc phát hành bản vá và công bố lỗ hổng là trách nhiệm của các nhà cung cấp phần mềm tham gia cuộc thi. Việc đó cần được thực hiện “một cách hiệu quả và kịp thời”.

“Thỉnh thoảng các bản vá sẽ không hiệu quả. Điều này đã từng xảy ra với SharePoint trong quá khứ”, theo tuyên bố từ Trend Micro.

Trong một bản cập nhật bảo mật ngày 8.7, Microsoft cho biết đã nhận diện lỗ hổng, xếp nó vào loại nghiêm trọng và phát hành các bản vá để khắc phục. Tuy nhiên khoảng 10 ngày sau, các công ty an ninh mạng bắt đầu ghi nhận sự gia tăng của các hoạt động độc hại trực tuyến nhắm vào chính phần mềm SharePoint đang bị lỗi.

“Các nhóm tấn công sau đó đã phát triển những đoạn mã khai thác có khả năng vượt qua các bản vá này”, hãng an ninh mạng Sophos (Anh) cho biết trong một bài đăng blog hôm 21.7.

Hôm 22.5, tập đoàn Viettel từng thông báo đội Viettel Cyber Security của công ty an ninh mạng Viettel đã đạt điểm số tuyệt đối 15.5/15.5 tại cuộc thi bảo mật hàng đầu thế giới Pwn2Own Berlin năm 2025. Tại mùa thi này, lần đầu tiên Viettel Cyber Security tham gia và chinh phục thành công hạng mục mới: Máy chủ ảo hóa và ứng dụng doanh nghiệp. Trong khuôn khổ cuộc thi, đội Viettel Cyber Security đã khai thác thành công ba mục tiêu: Microsoft SharePoint, Nvidia Triton Inference Server (hệ thống trí tuệ nhân tạo được sử dụng phổ biến trong công nghiệp), Oracle VirtualBox (nền tảng ảo hóa mã nguồn mở hàng đầu).

“Hơn 8.000 - 9.000 máy chủ bị ảnh hưởng”

Dữ liệu từ Shodan, công cụ tìm kiếm chuyên dò tìm các thiết bị kết nối internet, cho thấy có hơn 8.000 máy chủ SharePoint đang trực tuyến có khả năng đã bị hacker xâm nhập.

Các máy chủ đó thuộc về những hãng công nghiệp lớn, ngân hàng, công ty kiểm toán, tổ chức y tế, cũng như nhiều cơ quan chính quyền cấp bang ở Mỹ và một số chính phủ nước ngoài.

Shadowserver Foundation, tổ chức chuyên quét tìm lỗ hổng trên internet, ước tính số lượng máy chủ bị ảnh hưởng là hơn 9.000, nhưng cảnh báo rằng con số này chỉ là mức tối thiểu.

Shadowserver Foundation cho biết phần lớn các nạn nhân tập trung ở Mỹ và Đức, gồm cả nhiều tổ chức chính phủ.

Hôm 22.7, Văn phòng An ninh Thông tin Liên bang Đức (BSI) cho biết đã phát hiện một số máy chủ SharePoint trong mạng lưới chính phủ nước này dính lỗ hổng ToolShell, nhưng không có máy nào bị xâm nhập.

Microsoft đưa an ninh mạng trở thành ưu tiên hàng đầu

Năm ngoái, Satya Nadella (Giám đốc điều hành Microsoft) đã đưa an ninh mạng trở thành ưu tiên hàng đầu sau khi một báo cáo của chính phủ Mỹ chỉ trích cách gã khổng lồ phần mềm này xử lý vụ hacker Trung Quốc xâm nhập vào tài khoản email của các quan chức chính phủ Mỹ.

Năm 2021, các hacker Trung Quốc có tên Hafnium từng nhắm mục tiêu vào một phần mềm Microsoft Office khác là Exchange Server (cung cấp dịch vụ thư điện tử và lịch).

Hôm 18.7, Microsoft cho biết sẽ ngừng sử dụng các kỹ sư làm việc tại Trung Quốc để cung cấp hỗ trợ kỹ thuật cho quân đội Mỹ. Quyết định này được đưa ra sau khi một báo viết từ hãng báo chí điều tra ProPublica đã gây ra những nghi vấn từ một thượng nghị sĩ Mỹ và khiến Bộ trưởng Quốc phòng Pete Hegseth ra lệnh xem xét các hợp đồng điện toán đám mây của Lầu Năm Góc trong hai tuần.

Báo viết này trên ProPublica cho biết Microsoft đã sử dụng những kỹ sư Trung Quốc để làm việc trên các hệ thống điện toán đám mây của quân đội Mỹ, dưới sự giám sát của các "hộ tống kỹ thuật số" người Mỹ. Đây là những người được Microsoft thuê qua các nhà thầu phụ, có quyền tiếp cận thông tin mật nhưng thường thiếu kỹ năng kỹ thuật để đánh giá liệu công việc của kỹ sư Trung Quốc có gây ra mối đe dọa an ninh mạng hay không.

Hôm 18.7, người phát ngôn Microsoft là Frank Shaw thông báo công ty đã thay đổi cách hỗ trợ khách hàng (cơ quan, tổ chức hoặc đơn vị) thuộc chính phủ Mỹ "nhằm phản hồi các lo ngại được nêu ra, đảm bảo không có bất kỳ nhóm kỹ sư nào tại Trung Quốc cung cấp hỗ trợ kỹ thuật" cho các dịch vụ được Bộ Quốc phòng nước này sử dụng.

Trước đó, cùng ngày, Thượng nghị sĩ Tom Cotton, đảng viên Cộng hòa tại bang Arkansas, Chủ tịch Ủy ban Tình báo Thượng viện và cũng là thành viên Ủy ban Quân vụ, đã gửi thư cho Bộ trưởng Quốc phòng Pete Hegseth về các hoạt động nói trên của Microsoft.

Trong thư, ông Tom Cotton yêu cầu quân đội Mỹ cung cấp danh sách các nhà thầu sử dụng nhân sự Trung Quốc, cũng như thông tin chi tiết về cách đào tạo các "hộ tống kỹ thuật số" để phát hiện hành vi khả nghi.

"Chính phủ Mỹ nhận thức rằng năng lực mạng của Trung Quốc là một trong những mối đe dọa đáng ngại và nguy hiểm nhất với Mỹ, thể hiện qua việc xâm nhập vào cơ sở hạ tầng trọng yếu, mạng viễn thông và chuỗi cung ứng của chúng ta", Tom Cotton viết.

Quân đội Mỹ "phải đề phòng mọi mối đe dọa tiềm tàng trong chuỗi cung ứng của mình, gồm cả từ các nhà thầu phụ", ông nhấn mạnh.

Hôm 18.7, Bộ trưởng Pete Hegseth tuyên bố ông đang bắt đầu cuộc rà soát kéo dài hai tuần để đảm bảo rằng các kỹ sư sống tại Trung Quốc không làm việc trong bất kỳ hợp đồng điện toán đám mây nào khác của Bộ Quốc phòng Mỹ.

"Tôi tuyên bố rằng Trung Quốc sẽ không còn bất kỳ sự tham gia nào trong các dịch vụ đám mây của chúng ta, có hiệu lực ngay lập tức. Chúng tôi sẽ tiếp tục giám sát và đối phó với mọi mối đe dọa nhằm vào hạ tầng quân sự và các mạng trực tuyến của chúng ta", ông Hegseth nói.