Hơn 100 Tổ Chức Lao Đao Vì Lỗ Hổng Microsoft SharePoint Bị Khai Thác Quy Mô Lớn

Trong một thế giới số ngày càng kết nối, nơi thông tin đóng vai trò là tài sản chiến lược cốt lõi, không có gì nguy hiểm hơn việc nền tảng quản lý và lưu trữ dữ liệu của hàng nghìn doanh nghiệp trở thành mục tiêu tấn công mạng. Sự cố an ninh mạng mới đây nhắm vào Microsoft SharePoint, một trong những hệ thống cộng tác và quản lý tài liệu hàng đầu thế giới đã làm rung chuyển cộng đồng công nghệ toàn cầu.

Tính đến ngày 21/7, theo nhiều nguồn tin xác tín như Reuters, Washington Post và TechCrunch, ít nhất 100 tổ chức bao gồm các cơ quan chính phủ, tổ chức phi lợi nhuận và doanh nghiệp ở Mỹ, Đức cùng nhiều quốc gia khác đã bị ảnh hưởng bởi một chiến dịch tấn công tinh vi khai thác lỗ hổng zero-day trên nền tảng SharePoint. Con số nạn nhân vẫn đang tiếp tục gia tăng và mức độ nghiêm trọng được đánh giá là “trên diện rộng, chưa từng có tiền lệ với hệ thống SharePoint”. Trong bài viết này, chúng ta sẽ cùng phân tích toàn cảnh sự cố an ninh này: bản chất lỗ hổng, hành vi của hacker, phản ứng của Microsoft, đánh giá từ các chuyên gia và quan trọng nhất là bài học về bảo mật trong môi trường doanh nghiệp hiện đại.

1. SharePoint là gì và vì sao nó trở thành mục tiêu?

Ra đời từ năm 2001, Microsoft SharePoint là nền tảng quản lý dữ liệu và cộng tác được tích hợp trong hệ sinh thái Microsoft. Với hơn hai thập kỷ phát triển, SharePoint đã trở thành giải pháp tin cậy cho hàng trăm nghìn tổ chức trên toàn cầu. Nó cho phép người dùng tạo trang web nội bộ, chia sẻ tài liệu, phân quyền truy cập, làm việc nhóm và thậm chí tích hợp các ứng dụng doanh nghiệp quan trọng như quản lý dự án, công việc, biểu mẫu và quy trình.

Điểm nổi bật của SharePoint là khả năng triển khai linh hoạt từ nền tảng đám mây (Microsoft 365) đến các máy chủ nội bộ (on-premise) đặt tại tổ chức. Chính việc nhiều doanh nghiệp lựa chọn triển khai bản cài đặt cục bộ để kiểm soát dữ liệu tốt hơn đã vô tình tạo ra một “mặt trận” dễ bị khai thác nếu các bản vá bảo mật không được cập nhật kịp thời.

Chính vì mức độ phổ biến và vai trò trọng yếu trong hạ tầng thông tin nội bộ của hàng loạt cơ quan chính phủ, tổ chức quốc tế, tổ chức phi lợi nhuận và các doanh nghiệp thuộc nhiều ngành công nghiệp, SharePoint trở thành mục tiêu hấp dẫn cho các nhóm gián điệp mạng có tổ chức.

2. Lỗ hổng zero-day

Theo đại diện của Eye Security (Hà Lan) đơn vị đầu tiên phát hiện ra chiến dịch tấn công, hacker đã khai thác một lỗ hổng bảo mật nghiêm trọng chưa từng được công bố trước đó, được xếp loại “zero-day”. Trong giới bảo mật, zero-day là loại lỗ hổng đặc biệt nguy hiểm bởi nó chưa có bản vá chính thức, đồng nghĩa với việc các tổ chức gần như không có khả năng phòng vệ trước khi bị xâm nhập.

Với lỗ hổng mới trong SharePoint, hacker có thể chiếm quyền truy cập vào các máy chủ dễ bị tổn thương, cài đặt “cửa hậu” để quay lại bất cứ lúc nào, kiểm soát tài nguyên hệ thống, truy cập tài liệu nhạy cảm và thậm chí theo dõi các hoạt động nội bộ.

Cuộc tấn công bắt đầu được phát hiện vào ngày 18/7, khi Eye Security phối hợp với Shadowserver Foundation sử dụng công cụ quét để rà soát hệ thống. Kết quả cho thấy gần 100 tổ chức đã bị ảnh hưởng. Tuy nhiên, đại diện Eye Security từ chối công bố danh tính các nạn nhân vì lý do bảo mật và đã gửi cảnh báo đến từng tổ chức bị ảnh hưởng.

Các phân tích ban đầu cho thấy những tổ chức bị tấn công chủ yếu thuộc lĩnh vực chính phủ, giáo dục và hạ tầng thiết yếu, đặc biệt tại Mỹ và Đức. Theo TechCrunch, Censys công ty chuyên phân tích và giám sát hoạt động mạng toàn cầu xác nhận rằng quy mô cuộc tấn công ban đầu khá hẹp, chủ yếu liên quan đến các cơ quan chính phủ.

Tuy nhiên, điều đáng lo ngại là cuộc tấn công đã nhanh chóng lan rộng chỉ trong vài ngày. Nhà nghiên cứu chính của Censys, ông Silas Cutler, cho biết nhóm đã phát hiện từ 9.000 đến 10.000 máy chủ SharePoint có nguy cơ bị ảnh hưởng, con số này có thể tiếp tục biến động theo thời gian.

Dữ liệu từ công cụ tìm kiếm Shodan cũng cho thấy hàng nghìn máy chủ SharePoint trực tuyến bao gồm các công ty năng lượng, ngân hàng, công ty kiểm toán, cơ sở y tế và tổ chức quốc tế đang bị lộ diện trên Internet và chưa cài đặt bản vá an ninh. Điều này đặt cả hệ sinh thái doanh nghiệp toàn cầu vào tình trạng cảnh báo đỏ.

3. Phản ứng từ Microsoft

Ngay sau khi thông tin về lỗ hổng được xác nhận, Microsoft đã có bài đăng chính thức trên blog bảo mật của mình. Theo đó, lỗ hổng chỉ ảnh hưởng đến phiên bản SharePoint được cài đặt cục bộ, không liên quan đến bản đám mây (SharePoint Online).

Microsoft nhanh chóng phát hành bản vá khẩn cấp và khuyến cáo tất cả khách hàng triển khai SharePoint trên máy chủ nội bộ nên:

• Cập nhật ngay bản vá mới nhất.
• Tạm thời ngắt kết nối máy chủ khỏi Internet nếu chưa thể vá.
• Kiểm tra các hoạt động truy cập bất thường từ ngày 17/7 trở đi.

Đồng thời, hãng cũng cho biết đang phối hợp với FBI và các cơ quan chức năng để điều tra, truy vết nhóm tấn công đứng sau chiến dịch gián điệp này. Dù vậy, đến nay danh tính kẻ chủ mưu vẫn chưa được tiết lộ.

Dù Microsoft đã đưa ra các giải pháp khắc phục nhưng các chuyên gia bảo mật nhận định rằng những hệ lụy lâu dài từ sự cố này sẽ rất nghiêm trọng. Theo Daniel Card, chuyên gia của PwnDefend (Anh), việc SharePoint bị khai thác ở quy mô lớn như hiện nay đã “tạo ra mức độ xâm phạm chưa từng có, trải rộng trên nhiều máy chủ toàn cầu”.

Điều đáng lo hơn là không phải tất cả các tổ chức đều đủ năng lực kỹ thuật để kiểm tra, phân tích nhật ký hệ thống và nhận diện các hành vi đáng ngờ. Với những đơn vị có hạ tầng bảo mật yếu, việc cài đặt bản vá cũng có thể gặp trục trặc hoặc chậm trễ, khiến các máy chủ vẫn trong tình trạng nguy hiểm.

Bên cạnh đó, các tổ chức có thể đã bị xâm nhập mà không hay biết. Hacker có thể không phá hoại ngay, mà cài đặt “backdoor” để khai thác lâu dài. Một cuộc tấn công gián điệp tinh vi sẽ kiên nhẫn chờ đợi, âm thầm theo dõi, đánh cắp dữ liệu và chỉ hành động khi có cơ hội lớn hơn.

Về mặt pháp lý và niềm tin, những tổ chức không công bố kịp thời việc bị xâm nhập có thể đối mặt với chỉ trích, mất uy tín và thậm chí là kiện tụng từ khách hàng, đối tác nếu để rò rỉ dữ liệu cá nhân.

Chiến dịch tấn công SharePoint là minh chứng rõ ràng cho việc: không một tổ chức nào dù quy mô hay lĩnh vực có thể nằm ngoài tầm ngắm của các chiến dịch tấn công mạng có tổ chức.

Bài học quan trọng ở đây không chỉ nằm ở việc cập nhật phần mềm thường xuyên, mà còn là:

• Cần xây dựng năng lực giám sát an ninh mạng liên tục, theo thời gian thực.
• Phải có quy trình ứng phó sự cố rõ ràng, hiệu quả.
• Cần hợp tác chặt chẽ với các đơn vị chuyên môn, tổ chức bảo mật và các cơ quan điều tra khi có dấu hiệu bị xâm nhập.
• Luôn phân biệt giữa việc “chưa bị tấn công” và “chưa phát hiện bị tấn công” vì trong kỷ nguyên số, im lặng không đồng nghĩa với an toàn.

4. Vai trò của các tổ chức bảo mật độc lập

Một điểm đáng ghi nhận trong vụ việc lần này là vai trò quan trọng của các tổ chức bảo mật độc lập như Eye Security (Hà Lan), Shadowserver Foundation và Censys. Chính họ, chứ không phải Microsoft hay FBI, là những người đầu tiên phát hiện và cảnh báo về chiến dịch gián điệp mạng nhắm đến SharePoint.

Sự phối hợp giữa các đơn vị bảo mật tư nhân, tổ chức phi lợi nhuận và cộng đồng công nghệ mở đang ngày càng đóng vai trò sống còn trong việc giữ cho không gian mạng toàn cầu an toàn. Các tổ chức này không chỉ cung cấp công cụ quét và cảnh báo sớm, mà còn chia sẻ dữ liệu, phân tích hành vi tấn công và khuyến nghị giải pháp.

Điều này cho thấy: trong khi các tập đoàn công nghệ lớn và các chính phủ đôi khi bị hạn chế bởi quy trình hoặc quy định thì các tổ chức độc lập nhạy bén và phản ứng nhanh có thể trở thành tuyến đầu trong cuộc chiến chống lại tội phạm mạng.

Sự cố bảo mật liên quan đến Microsoft SharePoint trong tháng 7/2025 không phải là vụ việc duy nhất và chắc chắn sẽ không phải là cuối cùng. Nhưng nó là một lời nhắc nhở nghiêm túc cho toàn bộ hệ sinh thái số: từ các nhà cung cấp phần mềm, quản trị viên hệ thống, nhân viên CNTT cho đến từng người dùng cuối.

Trong một thế giới nơi dữ liệu là nguồn sống, các lỗ hổng như “zero-day” không còn là câu chuyện kỹ thuật khô khan, mà là những cuộc khủng hoảng tiềm tàng có thể khiến doanh nghiệp mất dữ liệu, mất khách hàng, mất uy tín và thậm chí là mất tất cả.

Câu hỏi đặt ra sau vụ việc này không chỉ là: “Chúng ta có vá lỗi kịp không?”, mà sâu hơn là: “Chúng ta có đủ tư duy an ninh mạng để sống sót trong một thế giới luôn bị đe dọa?”