Lỗ hổng 'zero-day' trên Microsoft SharePoint bị tấn công diện rộng

Lỗ hổng đó là gì?

Lỗ hổng CVE-2025-53771 thuộc loại "zero day" - thuật ngữ mô tả những lỗ hổng mà nhà cung cấp không có thời gian để vá lỗi trước khi chúng bị phát hiện và khai thác. Điều này khiến hàng nghìn doanh nghiệp trên khắp thế giới rơi vào tình trạng bất lực, không thể bảo vệ hệ thống của mình trước các cuộc tấn công đang diễn ra.

Lỗ hổng này đặc biệt nguy hiểm bởi nó cho phép tin tặc đánh cắp các khóa số riêng tư từ máy chủ SharePoint mà không cần bất kỳ thông tin đăng nhập nào. Một khi đã có được những khóa này, họ có thể cấy malware từ xa và truy cập vào toàn bộ dữ liệu được lưu trữ trong hệ thống. Điều này tương đương với việc trao cho kẻ xâm nhập chìa khóa vạn năng để mở mọi cánh cửa trong tòa nhà.

Mặc dù con số chính xác về máy chủ bị xâm phạm vẫn chưa được công bố, các chuyên gia ước tính hàng nghìn doanh nghiệp vừa và nhỏ có thể đã trở thành nạn nhân. Theo báo cáo của The Washington Post, một số cơ quan liên bang Mỹ, trường đại học và công ty năng lượng đã bị tấn công thành công.

Eye Security, công ty đầu tiên phát hiện và công bố lỗ hổng này, cho biết họ đã tìm thấy "hàng chục" máy chủ SharePoint đang bị khai thác tích cực. Con số này có thể chỉ là phần nổi của tảng băng, bởi nhiều tổ chức có thể chưa nhận ra rằng hệ thống của họ đã bị xâm phạm.

Hiệu ứng Domino đáng lo ngại

Một trong những khía cạnh đáng lo ngại nhất của cuộc tấn công này là khả năng lan truyền. SharePoint không hoạt động độc lập mà kết nối chặt chẽ với các ứng dụng khác trong hệ sinh thái Microsoft như Outlook, Teams và OneDrive. Điều này có nghĩa là một khi tin tặc xâm nhập thành công vào SharePoint, họ có thể sử dụng nó như một cầu nối để tiếp cận toàn bộ mạng lưới của tổ chức.

Hình ảnh này giống như việc để kẻ trộm vào được phòng khách của ngôi nhà, từ đó chúng có thể dễ dàng di chuyển đến các phòng khác và lấy đi những tài sản có giá trị nhất. Trong bối cảnh doanh nghiệp hiện đại, "tài sản" chính là dữ liệu nhạy cảm, thông tin khách hàng, các bí mật thương mại...

Michael Sikorski, người đứng đầu bộ phận tình báo của Palo Alto Networks đã đưa ra lời cảnh báo khẩn: nếu bạn có SharePoint được kết nối với internet, bạn nên giả định rằng hệ thống đã bị xâm phạm. Đây không phải là điều nói quá lời mà là một đánh giá thực tế về mức độ nghiêm trọng của tình hình.

Quá trình khắc phục không đơn giản

Cơ quan An ninh mạng và hạ tầng Mỹ (CISA) đã khuyến cáo các tổ chức "thực hiện hành động khuyến nghị ngay lập tức". Trong trường hợp không có bản vá hoặc biện pháp giảm thiểu, họ thậm chí đề xuất ngắt kết nối các hệ thống có thể bị ảnh hưởng khỏi internet - một biện pháp cực đoan cho thấy mức độ nghiêm trọng của tình huống.

Việc khắc phục lỗ hổng này không đơn giản chỉ là cài đặt một bản vá. Eye Security cảnh báo rằng do lỗ hổng liên quan đến việc đánh cắp khóa số, các tổ chức bị ảnh hưởng không chỉ cần vá lỗi mà còn phải thực hiện thêm các bước để thay đổi khóa số của họ. Điều này nhằm ngăn chặn tin tặc sử dụng những khóa đã bị đánh cắp để tái xâm nhập hệ thống.

Quá trình này có thể so sánh với việc không chỉ thay ổ khóa sau khi bị trộm chìa khóa, mà còn phải thay toàn bộ hệ thống bảo mật của ngôi nhà. Đây là một công việc phức tạp, tốn thời gian và chi phí, đồng thời đòi hỏi sự phối hợp chặt chẽ giữa các bộ phận công nghệ thông tin và quản lý.

Chuyện không phải đơn lẻ

Vụ việc SharePoint không phải là trường hợp riêng lẻ mà là một phần của xu hướng đáng lo ngại trong những năm gần đây. Năm 2021, nhóm tin tặc Hafnium được cho là có sự hậu thuẫn từ Trung Quốc đã khai thác lỗ hổng trong máy chủ email Microsoft Exchange, dẫn đến việc hơn 60.000 máy chủ bị xâm phạm trên toàn thế giới.

Hai năm sau đó, Microsoft xác nhận một cuộc tấn công mạng vào hệ thống đám mây của họ, cho phép tin tặc từ Trung Quốc đánh cắp khóa ký email nhạy cảm, từ đó có thể truy cập vào cả tài khoản email cá nhân và doanh nghiệp. Công ty cũng báo cáo nhiều lần bị xâm nhập từ các tin tặc từ Đông Âu.

Những bài học cần ghi nhớ

Vụ việc SharePoint một lần nữa nhắc nhở chúng ta rằng trong thời đại số hóa, an ninh mạng không còn là vấn đề kỹ thuật đơn thuần mà đã trở thành vấn đề chiến lược quốc gia và kinh tế toàn cầu. Khi các cuộc tấn công ngày càng tinh vi và có tổ chức, việc phòng thủ cũng phải được nâng lên tầm cao mới.

Các tổ chức cần nhận thức rằng việc đầu tư vào an ninh mạng không phải là chi phí mà là khoản đầu tư bảo hiểm thiết yếu. Đồng thời, sự hợp tác giữa các nhà cung cấp công nghệ, cơ quan chính phủ và cộng đồng an ninh mạng cần được tăng cường để ứng phó hiệu quả với những mối đe dọa ngày càng phức tạp này.

Cuộc khủng hoảng SharePoint hiện tại sớm muộn rồi sẽ qua đi, nhưng những bài học từ nó cần được ghi nhớ lâu dài. Trong một thế giới ngày càng phụ thuộc vào công nghệ số, khả năng phòng thủ trước các cuộc tấn công mạng không chỉ quyết định thành bại của từng doanh nghiệp, mà còn ảnh hưởng đến sự ổn định và phát triển của toàn bộ nền kinh tế số.