Mỹ: Hạ tầng số liên bang báo động vì lỗ hổng SharePoint

một ngày trướcBài gốc

Cuộc tấn công thầm lặng

Theo thông cáo của Tập đoàn Microsoft ngày 25/7/2025, một chiến dịch tấn công mạng có chủ đích đã lợi dụng zero-day (lỗ hổng bảo mật chưa từng được phát hiện hoặc công bố, nên chưa có bản vá bảo vệ) trong nền tảng Microsoft SharePoint Server để truy cập trái phép vào hệ thống của một số cơ quan liên bang Mỹ. Vụ việc được phát hiện thông qua phối hợp điều tra giữa Microsoft, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Trung tâm Ứng cứu khẩn cấp máy tính liên bang.

Microsoft đã triển khai bản vá bảo mật khẩn cấp cho một số người dùng.

Theo đó, nhóm tấn công đã khai thác các lỗ hổng bảo mật mang mã CVE-2025-49704 và CVE-2025-49706 trên các máy chủ SharePoint triển khai nội bộ. Những lỗ hổng này cho phép vượt qua xác thực đa yếu tố và thực thi mã từ xa trong môi trường mục tiêu. Cùng với đó, hai biến thể khác là CVE-2025-53770 và CVE-2025-53771 cũng bị phát hiện đang bị khai thác tích cực trong cùng chiến dịch.

Thông qua các điểm yếu bảo mật, tin tặc đã chiếm quyền truy cập vào hệ thống, đánh cắp mã xác thực, mạo danh người dùng hợp pháp và xâm nhập sâu vào các nền tảng nội bộ, bao gồm thư điện tử, dữ liệu lưu trữ và tài liệu chia sẻ. Microsoft đánh giá cuộc tấn công có mức độ tinh vi cao, được thực hiện bởi một tổ chức chưa xác định.

CISA xác nhận ít nhất ba cơ quan liên bang Mỹ đã bị ảnh hưởng trong sự cố khai thác lỗ hổng SharePoint, bao gồm Bộ An ninh Nội địa, Viện Y tế Quốc gia và Cơ quan Quản lý Năng lượng. Các đơn vị này sử dụng nền tảng SharePoint để lưu trữ và quản lý một khối lượng lớn tài liệu nội bộ, từ điều hành hành chính, hồ sơ nhà thầu đến các dữ liệu chuyên ngành có mức độ nhạy cảm cao.

Microsoft cho biết hiện chưa có dấu hiệu cho thấy dữ liệu mật đã bị rò rỉ. Tuy nhiên, nhiều chuyên gia an ninh mạng cảnh báo rằng ngay cả những thông tin tưởng như mang tính hành chính như cấu trúc tổ chức, nội dung trao đổi nội bộ hay tài liệu quản trị cũng có thể trở thành mục tiêu giá trị đối với các nhóm gián điệp mạng có động cơ tình báo.

Báo động từ một nền tảng quen thuộc

SharePoint từ lâu đã trở thành một trong những nền tảng cộng tác được sử dụng phổ biến nhất trong các tổ chức chính phủ Hoa Kỳ. Theo ước tính, có hơn 250.000 tổ chức trên toàn cầu, trong đó có phần lớn các bộ, ngành của Mỹ đang sử dụng Microsoft SharePoint để chia sẻ tài liệu, quản lý dự án và lưu trữ dữ liệu nội bộ. Đây cũng chính là lý do khiến nền tảng này trở thành “mục tiêu vàng” của các nhóm tin tặc, đặc biệt là trong lĩnh vực gián điệp mạng.

Tuy nhiên, nhiều hệ thống SharePoint đang vận hành trên phiên bản cũ, được triển khai tại chỗ và không được cập nhật thường xuyên. Theo báo cáo của hãng bảo mật Tenable năm 2024, có tới 58% tổ chức sử dụng SharePoint ở Mỹ không triển khai bản vá trong vòng 30 ngày kể từ khi Microsoft phát hành cập nhật bảo mật. Điều này khiến các hệ thống này trở nên dễ bị khai thác, đặc biệt khi đối mặt với các lỗ hổng có mức độ nghiêm trọng cao.

Trong vụ việc lần này, kẻ xâm nhập không chỉ tận dụng một điểm yếu cụ thể mà còn kết hợp nhiều kỹ thuật tinh vi để che giấu hành vi trong môi trường mạng mục tiêu. Sau khi xâm nhập máy chủ SharePoint, nhóm tấn công đã nhanh chóng thiết lập các tài khoản ẩn trong hệ thống Active Directory, nhằm duy trì quyền truy cập dài hạn và mở rộng ảnh hưởng tới các dịch vụ liên kết như Azure, Exchange Online và Microsoft Teams.

Đáng chú ý, nhiều tổ chức chính phủ vẫn vận hành các hệ thống SharePoint cục bộ thay vì chuyển hẳn sang mô hình đám mây như Microsoft 365. Dù nền tảng đám mây hiện đại được cập nhật bảo mật tự động và liên tục, nhưng việc chuyển đổi vẫn bị cản trở bởi các yếu tố như tính bảo mật nội bộ, quy định dữ liệu và chi phí tái cấu trúc hạ tầng. Hệ quả là nhiều cơ sở hạ tầng công nghệ trở thành “điểm mù” trong khả năng phát hiện và ngăn chặn các mối đe dọa mới.

Chuyên gia Bob Ackerman, người sáng lập công ty đầu tư AllegisCyber Capital, nhận định: “Chính phủ Mỹ đang bước vào giai đoạn mà việc duy trì các nền tảng cũ không còn là phương án khả thi”. Ông nhấn mạnh sự cần thiết phải xây dựng quy trình kiểm tra bắt buộc đối với các nền tảng cộng tác như SharePoint, đồng thời ứng dụng công nghệ trí tuệ nhân tạo để giám sát hành vi bất thường theo thời gian thực.

Ngoài ra, các nhà phân tích cũng cảnh báo về sự phụ thuộc ngày càng lớn vào hệ sinh thái Microsoft trong hạ tầng số liên bang. Theo đó, khoảng 85% cơ quan chính phủ Mỹ hiện sử dụng ít nhất một dịch vụ thuộc bộ Microsoft 365, từ email Outlook, lưu trữ OneDrive cho tới nền tảng hội họp Teams. Điều này đồng nghĩa mỗi khi phát hiện lỗ hổng nghiêm trọng, nguy cơ lan truyền rủi ro là rất cao và có thể gây ảnh hưởng diện rộng nếu không xử lý kịp thời.

Trước tình hình này, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ cùng Văn phòng Quản lý và Ngân sách của Nhà Trắng đã phát hành bản ghi nhớ ngày 28/7 yêu cầu các cơ quan liên bang đánh giá lại toàn bộ điểm tiếp xúc công nghệ trong hệ thống của mình. Các cơ quan được yêu cầu nộp báo cáo đánh giá rủi ro trong vòng 15 ngày và triển khai ngay các bản vá bảo mật bắt buộc trong tháng 8/2025.

Sự cố bảo mật trên Microsoft SharePoint là một lời cảnh tỉnh rõ ràng về sự mong manh của hạ tầng số trong các cơ quan công quyền. Khi các nền tảng phổ biến trở thành mục tiêu lý tưởng cho tin tặc, một lỗ hổng nhỏ có thể kéo theo nhiều hậu quả lớn, không chỉ về an ninh quốc gia mà còn ảnh hưởng đến lòng tin của công chúng vào chính phủ số.

Trần Minh

Nguồn ANTG : https://antg.cand.com.vn/khoa-hoc-ky-thuat-hinh-su/my-ha-tang-so-lien-bang-bao-dong-vi-lo-hong-sharepoint-i777752/