Microsoft vừa phát hành cảnh báo bảo mật khẩn cấp về một chiến dịch tấn công mạng có chủ đích và mức độ nghiêm trọng cao, nhắm vào các hệ thống SharePoint Server on-premises kể từ ngày 7/7/2025. Ba nhóm tin tặc có nguồn gốc từ Trung Quốc, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603, đã thực hiện các cuộc tấn công này. Chúng đã lợi dụng một chuỗi các lỗ hổng bảo mật nghiêm trọng để vượt qua các biện pháp xác thực, cho phép thực thi mã từ xa và cuối cùng là chiếm quyền kiểm soát hệ thống nội bộ của mục tiêu.
Đặc biệt, vào ngày 18/7/2025, một trong những nạn nhân của chiến dịch tấn công này đã được xác định là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ một số hệ thống bị ảnh hưởng và chưa phát hiện bất kỳ dấu hiệu nào về việc rò rỉ dữ liệu mật, sự việc này đã phơi bày quy mô và mức độ tinh vi của làn sóng tấn công mạng.
Thông tin từ Microsoft cho biết, bốn lỗ hổng bảo mật đã được xác định là CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ. Nhận thức được nguy cơ, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm ngăn chặn các cuộc tấn công.
Ngoài ra, Microsoft cũng đưa ra các khuyến nghị cho các tổ chức trong việc triển khai ngay các biện pháp phòng thủ. Các biện pháp này bao gồm kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, thực hiện xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS. Đây là những bước đi quan trọng nhằm bảo vệ hệ thống trước làn sóng tấn công.
CISA đã thêm CVE-2025-53771 vào danh sách cần khắc phục khẩn cấp vào ngày 22/7/2025, với hạn chót thực hiện chỉ sau đó một ngày. Các chuyên gia an ninh mạng cũng cảnh báo rằng sự kết hợp giữa việc bypass xác thực và thực thi mã từ xa tạo nên công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu.
Trong bối cảnh kẻ tấn công đã sẵn sàng với các đường đi vào hệ thống, các tổ chức không còn lựa chọn nào khác ngoài việc cập nhật bản vá. Đây không đơn thuần là một lựa chọn, mà là một hành động sống còn để bảo vệ hệ thống và dữ liệu trước những mối đe dọa ngày càng tăng.