Ngày 7/7/2025, Microsoft đã phát đi cảnh báo bảo mật khẩn cấp liên quan đến một chiến dịch tấn công mạng có chủ đích và tinh vi nhắm vào hệ thống SharePoint Server on-premises. Thông tin đã được công bố trên trang web của công ty, cảnh báo về việc ba nhóm tin tặc có nguồn gốc Trung Quốc, gồm Linen Typhoon, Violet Typhoon và Storm-2603, đã thực hiện các cuộc tấn công này.

Các cuộc tấn công đã lợi dụng một loạt các lỗ hổng bảo mật nghiêm trọng trong hệ thống SharePoint Server on-premises. Những lỗ hổng này cho phép kẻ tấn công vượt qua cơ chế xác thực vốn có, thực thi mã từ xa và cuối cùng là chiếm quyền kiểm soát các hệ thống nội bộ của tổ chức. Chiến dịch tấn công mạng này không chỉ dừng lại ở việc xâm nhập mà còn có khả năng ảnh hưởng đến rất nhiều hệ thống quan trọng nếu không được kiểm soát.

Một trong những điểm đáng chú ý và gây lo ngại nhất trong chiến dịch tấn công này là việc Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ, đã trở thành nạn nhân. Sự cố này đã được xác nhận vào ngày 18/7/2025, mặc dù chỉ một số hệ thống bị ảnh hưởng và không có bằng chứng về việc rò rỉ dữ liệu mật, nhưng nó đã cho thấy quy mô và mức độ tinh vi cũng như sự táo bạo của nhóm tấn công.

Về mặt kỹ thuật, Microsoft đã xác định được bốn lỗ hổng bảo mật chính được khai thác trong chiến dịch tấn công này, gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Các lỗ hổng này ảnh hưởng đến nhiều phiên bản của SharePoint Server, bao gồm SharePoint Server 2016, 2019 và Subscription Edition khi được cài đặt tại chỗ.

Trước những mối đe dọa này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm ngăn chặn việc khai thác các lỗ hổng. Bên cạnh đó, công ty cũng đưa ra một số khuyến nghị cho các tổ chức về các biện pháp tăng cường bảo mật. Chúng bao gồm việc kích hoạt AMSI (Anti-Malware Scan Interface) ở chế độ Full Mode, đảm bảo rằng Microsoft Defender Antivirus được cập nhật và hoạt động hiệu quả, tiến hành xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS (Internet Information Services).

Cục An ninh mạng và An ninh thông tin (CISA) đã đưa CVE-2025-53771 vào danh sách các lỗ hổng cần phải khắc phục khẩn cấp vào ngày 22/7/2025, chỉ một ngày trước khi các cơ quan có liên quan cần phải thực hiện cập nhật. Đồng thời, các chuyên gia an ninh mạng cũng cảnh báo rằng sự kết hợp giữa việc bỏ qua xác thực và khả năng thực thi mã từ xa đang trở thành công thức lý tưởng cho các cuộc tấn công mã hóa dữ liệu, làm tăng thêm mức độ khẩn cấp của việc cập nhật và vá các lỗ hổng này.

Trong bối cảnh hiện nay, không thể phủ nhận rằng việc cập nhật và vá các lỗ hổng không chỉ là một lựa chọn mà còn là một hành động thiết yếu và sống còn đối với tất cả các tổ chức. Nhất là khi các kẻ tấn công đang tỏ ra ngày càng tinh vi và có sẵn những phương thức cũng như công cụ để nhanh chóng khai thác các lỗ hổng mới, các tổ chức cần phải nhanh chóng hành động để bảo vệ hệ thống và dữ liệu của mình.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, trong đó Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Thông tin này đã được công bố sau khi các chuyên gia bảo mật phát hiện ra chiến dịch tấn công mạng có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài.

Các cuộc tấn công này đã ảnh hưởng đến nhiều tổ chức trên toàn thế giới, bao gồm cả Mỹ và một số nước châu Âu. Tại Mỹ, hệ thống của NSA đã bị xâm nhập, tuy nhiên, không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp. Tại châu Âu, các tổ chức ở Đức và một số nước khác cũng là mục tiêu của các cuộc tấn công này, chủ yếu nhắm vào các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Các email này thường chứa các liên kết hoặc tập tin đính kèm độc hại, có thể giúp tin tặc chiếm quyền kiểm soát hệ thống khi người dùng mở ra.

Trước những mối đe dọa này, các chuyên gia bảo mật khuyến cáo người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng. Việc cập nhật phần mềm và hệ thống thường xuyên, sử dụng phần mềm chống vi-rút và tránh mở các email và tập tin không rõ nguồn gốc là một số biện pháp có thể giúp giảm thiểu rủi ro.

Ngoài ra, các tổ chức cần triển khai các giải pháp bảo mật toàn diện, bao gồm cả việc đào tạo nhân viên về các phương thức tấn công mạng phổ biến và cách phòng tránh. Việc duy trì một hệ thống sao lưu dữ liệu thường xuyên cũng có thể giúp giảm thiểu thiệt hại trong trường hợp bị tấn công mạng.

Để biết thêm thông tin về các biện pháp bảo mật và cách phòng tránh các cuộc tấn công mạng, vui lòng truy cập trang web bảo mật của Microsoft hoặc trang web của Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA).