Microsoft điều tra vụ hacker tấn công lỗ hổng SharePoint sau khi Viettel cảnh báo trước 2 tháng
Microsoft đang tiến hành điều tra xem liệu một rò rỉ từ hệ thống cảnh báo sớm của họ dành cho các hãng an ninh mạng có giúp hacker khai thác lỗ hổng trong SharePoint hay không.
SharePoint là nền tảng phần mềm do Microsoft phát triển, chủ yếu được sử dụng để lưu trữ, chia sẻ, quản lý tài liệu và hợp tác nội bộ trong các tổ chức, doanh nghiệp. Nói cách khác, SharePoint giống mạng nội bộ, nơi mọi người trong công ty có thể truy cập các file tài liệu, chia sẻ thông tin, cộng tác trên cùng một dự án và làm việc nhóm một cách hiệu quả hơn.
Tuy nhiên, nền tảng này gần đây đang là tâm điểm của những lo ngại về bảo mật. Theo nguồn tin từ Bloomberg, Microsoft đang tiến hành điều tra khả năng chương trình đối tác MAPP (Microsoft Active Protections Program) có liên quan đến việc các lỗ hổng bảo mật trong SharePoint bị khai thác trên phạm vi toàn cầu trong vài ngày qua, theo nguồn tin của trang Bloomberg.
MAPP (Microsoft Active Protections Program) là chương trình hợp tác giữa Microsoft và các công ty an ninh mạng trên toàn cầu, nhằm chia sẻ sớm thông tin về các lỗ hổng bảo mật và bản vá trước khi gã khổng lồ công nghệ phần mềm Mỹ công bố công khai. MAPP được thiết kế để giúp các chuyên gia an ninh mạng có cơ hội sửa chữa hệ thống trước khi những mối lo ngại bảo mật mới được Microsoft công bố rộng rãi.
“Như một phần trong quy trình tiêu chuẩn, chúng tôi sẽ xem xét sự cố này, tìm các lĩnh vực cần cải thiện và áp dụng những cải tiến đó rộng rãi”, phát ngôn viên của Microsoft cho biết. Người này nói thêm rằng các chương trình đối tác là một phần quan trọng trong phản ứng bảo mật của công ty.
Microsoft quy trách nhiệm các vụ xâm nhập SharePoint cho các nhóm hacker Trung Quốc
Đại sứ quán Trung Quốc tại Washington đã viện dẫn phát biểu của ông Quách Gia Khôn (người phát ngôn Bộ Ngoại giao Trung Quốc) trước truyền thông hồi đầu tuần, trong đó phản đối các hành vi tấn công mạng.
“An ninh mạng là thách thức chung mà tất cả quốc gia đều phải đối mặt và cần được giải quyết thông qua đối thoại và hợp tác. Trung Quốc phản đối và xử lý các hành vi tấn công mạng theo quy định pháp luật. Ngoài ra, chúng tôi cũng phản đối các hành vi bôi nhọ và tấn công Trung Quốc dưới cái cớ vấn đề an ninh mạng”, ông Quách Gia Khôn nói.
Theo trang web của Microsoft, ít nhất 12 công ty Trung Quốc tham gia MAPP - chương trình đã hoạt động được 17 năm. Các thành viên trong MAPP phải chứng minh là nhà cung cấp dịch vụ an ninh mạng và không phát triển những công cụ tấn công, chẳng hạn phần mềm kiểm thử thâm nhập.
Họ sẽ nhận được thông tin về các bản vá lỗ hổng mới 24 giờ trước khi Microsoft công bố công khai nếu ký thỏa thuận không tiết lộ.
Theo trang web của chương trình MAPP của Microsoft, một nhóm nhỏ người dùng đã trải qua khâu kiểm duyệt kỹ lưỡng hơn sẽ nhận được thông báo về bản vá sắp phát hành sớm hơn 5 ngày.
Dustin Childs, trưởng bộ phận nhận diện mối đe dọa thuộc chương trình Zero Day Initiative của hãng an ninh mạng Trend Micro (Nhật Bản), cho biết Microsoft đã cảnh báo thành viên MAPP về các lỗ hổng dẫn đến các cuộc tấn công vào SharePoint. Trend Micro là một thành viên MAPP.
“Microsoft đã chia sẻ trước thông tin về hai lỗ hổng này cho các thành viên MAPP, trước khi công bố ra công chúng. Khả năng rò rỉ chắc chắn nằm trong suy nghĩ của chúng tôi”, Dustin Childs thổ lộ.
Ông nói thêm rằng một rò rỉ như vậy sẽ là mối đe dọa nghiêm trọng với MAPP, “dù tôi vẫn nghĩ rằng chương trình này có giá trị rất lớn”.
Các thành viên MAPP không được phép sản xuất phần mềm kiểm thử xâm nhập là điều khoản quan trọng. Việc đó nhằm đảm bảo rằng các đối tác tham gia chương trình không lợi dụng thông tin nhạy cảm về lỗ hổng để tạo ra hoặc cung cấp những công cụ có thể bị lạm dụng cho mục đích tấn công, gây hại.
Phần mềm kiểm thử xâm nhập là công cụ máy tính được sử dụng bởi các chuyên gia bảo mật để mô phỏng cuộc tấn công mạng vào một hệ thống máy tính, mạng, ứng dụng web hoặc bất kỳ mục tiêu nào khác để tìm kiếm các lỗ hổng bảo mật.
Mục tiêu chính của việc dùng phần mềm kiểm thử xâm nhập
Phát hiện lỗ hổng: Tìm ra các điểm yếu hoặc lỗ hổng mà kẻ tấn công có thể khai thác.
Đánh giá mức độ rủi ro: Xác định mức độ nghiêm trọng từ các lỗ hổng đã tìm thấy và tác động tiềm ẩn của chúng.
Đề xuất biện pháp khắc phục: Cung cấp thông tin chi tiết để giúp các tổ chức vá lỗi và tăng cường bảo mật.
Các loại phần mềm kiểm thử xâm nhập phổ biến
Có rất nhiều loại phần mềm kiểm thử xâm nhập từ đơn giản đến phức tạp, gồm:
Công cụ quét lỗ hổng: Tự động tìm kiếm các lỗ hổng đã biết trong hệ thống hoặc ứng dụng, chẳng hạn Nessus và OpenVAS.
Khung kiểm thử xâm nhập: Cung cấp một bộ công cụ và mô đun tích hợp để thực hiện các cuộc tấn công phức tạp, chẳng hạn Metasploit và Burp Suite.
Công cụ dò quét cổng: Xác định các cổng mạng đang mở trên một hệ thống, giúp tìm ra những dịch vụ đang chạy, chẳng hạn Nmap.
Công cụ phân tích mật khẩu: Thử đoán hoặc bẻ khóa mật khẩu bằng các phương pháp khác nhau, chẳng hạn John the Ripper, Hashcat.
Công cụ phân tích ứng dụng web: Tìm lỗ hổng trong các ứng dụng web, chẳng hạn OWASP ZAP và Burp Suite.
Công cụ kỹ thuật xã hội: Hỗ trợ các cuộc tấn công lừa đảo hoặc kỹ thuật xã hội, chẳng hạn Social Engineering Toolkit (SET).
Ai sử dụng phần mềm kiểm thử xâm nhập?
Chuyên gia bảo mật/hacker mũ trắng: Đây là những người dùng phần mềm kiểm thử xâm nhập theo cách có đạo đức để giúp các tổ chức cải thiện an ninh.
Red Team (Đội đỏ): Các nhóm chuyên gia mô phỏng cuộc tấn công thực tế để kiểm tra khả năng phòng thủ của một tổ chức.
Nhà phát triển và quản trị viên hệ thống: Tự kiểm tra và đảm bảo an toàn cho các hệ thống hoặc ứng dụng mà họ quản lý.
400 cơ quan chính phủ và tập đoàn bị tấn công
Các nạn nhân của cuộc tấn công hiện đã lên tới hơn 400 cơ quan chính phủ và tập đoàn trên toàn thế giới, gồm cả Cơ quan An ninh Hạt nhân Quốc gia Mỹ - đơn vị chịu trách nhiệm thiết kế và duy trì kho vũ khí hạt nhân của nước này.
Với một số cuộc tấn công, Microsoft đã đổ lỗi cho ba nhóm hacker Trung Quốc là Linen Typhoon, Violet Typhoon và Storm-2603.
Đáp lại những cáo buộc đó, Đại sứ quán Trung Quốc tại Washington cho biết nước này phản đối mọi hình thức tấn công mạng, đồng thời chỉ trích hành vi “bôi nhọ người khác mà không có bằng chứng xác thực”.
Chuyên gia Viettel giao báo cáo đầy đủ sau khi phát hiện lỗ hổng SharePoint
Một điểm đáng chú ý là sự kiện ghi nhận từ chuyên gia Việt Nam: Đinh Hồ Anh Khoa, nhà nghiên cứu của công ty an ninh mạng Vietttel thuộc tập đoàn Viettel, đã phát hiện lỗ hổng zero-day nghiêm trọng trong SharePoint tại hội nghị Pwn2Own Berlin do Trend Micro tổ chức. Với lỗ hổng mang tên ToolShell, Khoa đã trình diễn trực tiếp cách khai thác và nhận giải thưởng 100.000 USD từ chương trình.
Trước đó, hôm 22.5, tập đoàn Viettel từng thông báo đội Viettel Cyber Security của công ty an ninh mạng Viettel đã đạt điểm số tuyệt đối 15.5/15.5 tại cuộc thi bảo mật hàng đầu thế giới Pwn2Own Berlin năm 2025. Tại mùa thi này, lần đầu tiên Viettel Cyber Security tham gia và chinh phục thành công hạng mục mới: Máy chủ ảo hóa và ứng dụng doanh nghiệp.
Trong khuôn khổ cuộc thi, đội Viettel Cyber Security đã khai thác thành công ba mục tiêu: Microsoft SharePoint, Nvidia Triton Inference Server (hệ thống trí tuệ nhân tạo được sử dụng phổ biến trong công nghiệp), Oracle VirtualBox (nền tảng ảo hóa mã nguồn mở hàng đầu).
Sau buổi trình diễn, Đinh Hồ Anh Khoa đã cùng Dustin Childs và đại diện Microsoft vào phòng riêng để bàn giao báo cáo kỹ thuật chi tiết. Microsoft ngay lập tức đã xác minh lỗ hổng và bắt đầu phát triển bản vá. Theo Zero Day Initiative, quá trình vá lỗi mất khoảng 60 ngày. Tuy nhiên, ngày 7.7, chỉ một ngày trước khi bản vá được công bố, các máy chủ SharePoint đã bị tấn công.
Dustin Childs cho rằng có thể hacker tự phát hiện ra lỗ hổng và bắt đầu khai thác trùng hợp với thời điểm Microsoft chia sẻ thông tin đó với các thành viên MAPP. Tuy nhiên, ông nói thêm rằng nếu đúng như vậy thì thật là một sự trùng hợp khó tin. Khả năng rõ ràng hơn là ai đó đã chia sẻ thông tin với kẻ tấn công.
Microsoft từng tố công ty Trung Quốc rò rỉ thông tin về lỗ hổng nghiêm trọng từ MAPP
Việc rò rỉ tin tức về bản vá đang chờ xử lý sẽ là một lỗi bảo mật nghiêm trọng, nhưng “chuyện này từng xảy ra rồi”, theo Jim Walter - nhà nghiên cứu mối đe dọa cao cấp tại hãng an ninh mạng SentinelOne (Mỹ).
Năm 2012, Microsoft cáo buộc Hangzhou DPtech Technologies (hãng an ninh mạng Trung Quốc từng là thành viên MAPP) tiết lộ thông tin làm lộ ra một lỗ hổng nghiêm trọng trong hệ điều hành Windows.
Hangzhou DPtech Technologies sau đó bị loại khỏi MAPP. Khi đó, đại diện của Microsoft tuyên bố đã “tăng cường các biện pháp kiểm soát hiện có và thực hiện những hành động nhằm bảo vệ tốt hơn thông tin của chúng tôi”.
Năm 2021, Microsoft nghi ngờ ít nhất hai thành viên MAPP khác tại Trung Quốc đã rò rỉ thông tin về các lỗ hổng trong máy chủ Exchange, dẫn đến một chiến dịch tấn công mạng toàn cầu mà công ty Mỹ quy trách nhiệm cho nhóm gián điệp mạng Hafnium (Trung Quốc). Đây là một trong những vụ xâm phạm tồi tệ nhất với Microsoft khi hàng chục nghìn máy chủ Exchange bị tấn công, gồm cả Cơ quan Ngân hàng châu Âu và Quốc hội Na Uy.
Exchange là hệ thống máy chủ email doanh nghiệp do Microsoft phát triển, dùng để gửi/nhận email, quản lý lịch làm việc, danh bạ và tác vụ cho các tổ chức.
Sau sự cố năm 2021, Microsoft từng cân nhắc cải tổ MAPP, theo Bloomberg. Tuy nhiên, gã khổng lồ công nghệ Mỹ không công bố liệu đã thực hiện thay đổi nào hay chưa và có phát hiện vụ rò rỉ nào nữa không.
Theo tổ chức tư vấn chiến lược phi lợi nhuận Atlantic Council (Mỹ), luật Trung Quốc ban hành năm 2021 yêu cầu bất kỳ công ty hoặc nhà nghiên cứu nào phát hiện ra lỗ hổng bảo mật phải báo cáo trong vòng 48 giờ cho Bộ Công nghiệp và Công nghệ Thông tin (MIIT).
Một số công ty Trung Quốc vẫn tham gia MAPP, chẳng hạn Beijing CyberKunlun Technology, song đồng thời cũng là thành viên Chương trình Cơ sở dữ liệu Lỗ hổng Quốc gia Trung Quốc (China National Vulnerability Database) do Bộ An ninh Quốc gia nước này vận hành, theo các trang web chính phủ Trung Quốc.
Ông Eugenio Benincasa, nhà nghiên cứu tại Trung tâm Nghiên cứu An ninh của Viện Công nghệ Liên bang Thụy Sĩ, cho rằng thiếu sự minh bạch về cách các công ty Trung Quốc cân bằng giữa cam kết giữ kín những lỗ hổng được Microsoft chia sẻ với nghĩa vụ phải cung cấp thông tin đó cho chính phủ quốc gia châu Á này.
“Chúng tôi biết rằng một số công ty Trung Quốc có hợp tác với các cơ quan an ninh nhà nước, và hệ thống quản lý lỗ hổng bảo mật ở quốc gia này được tổ chức rất tập trung (quyền kiểm soát thông tin nằm trong tay một cơ quan thay vì phân tán - PV). Đây chắc chắn là lĩnh vực cần được giám sát chặt chẽ hơn”, Eugenio Benincasa bình luận.