Microsoft cho biết đã phát hành bản vá bảo mật mới cho khách hàng sử dụng hệ thống máy chủ SharePoint “nhằm ngăn chặn các cuộc tấn công đang diễn ra nhắm vào máy chủ nội bộ,” đồng thời cho biết đang chuẩn bị tung ra các bản cập nhật khác. Cơ quan An ninh mạng và An ninh Cơ sở Hạ tầng Hoa Kỳ (CISA) xác nhận lỗ hổng này đã cho phép tin tặc truy cập vào hệ thống tệp, cấu hình nội bộ và triển khai mã độc từ xa.

Nhiều công ty an ninh mạng cảnh báo rằng có rất nhiều tổ chức trên thế giới có thể bị ảnh hưởng. Silas Cutler, nhà nghiên cứu tại công ty an ninh mạng Censys (Mỹ), ước tính hơn 10.000 công ty sử dụng máy chủ SharePoint đang có nguy cơ bị tấn công. Mỹ là quốc gia ghi nhận số lượng tổ chức bị ảnh hưởng nhiều nhất, tiếp theo là Hà Lan, Anh và Canada.

“Nhiều nhóm tống tiền bằng mã độc sẽ tranh thủ dịp cuối tuần này để khai thác lỗ hổng,” ông Cutler nói thêm.

Palo Alto Networks cảnh báo “các cuộc tấn công này là thật, đang diễn ra thật và là mối đe dọa nghiêm trọng.” Nhóm Tình báo Mối đe dọa của Google cũng cho biết trong một tuyên bố qua email rằng họ đã phát hiện việc tin tặc lợi dụng lỗ hổng này, đồng thời lưu ý rằng nó cho phép “truy cập trái phép liên tục mà không cần xác thực, là rủi ro lớn cho các tổ chức bị ảnh hưởng.”

“Khi một hệ thống như SharePoint, vốn thường được bảo vệ ở mức cao nhất, bị xâm nhập, mọi thứ gần như rơi vào thế bị động hoàn toàn,” Gene Yu, giám đốc điều hành công ty phản ứng sự cố mạng Blackpanda có trụ sở tại Singapore, nhận định.

Tờ Washington Post dẫn lời giới chức bang và các chuyên gia cho biết vụ tấn công đã ảnh hưởng đến các cơ quan liên bang và tiểu bang của Mỹ, trường đại học, công ty năng lượng và một tập đoàn viễn thông châu Á.

Theo ông Cutler, các nhà nghiên cứu của Eye Security là bên đầu tiên xác định lỗ hổng. Họ ghi nhận một vụ xâm nhập hôm thứ Sáu (18.7) tương tự bản demo do nhóm Code White GmbH trình bày trước đó trong tuần, mô phỏng lỗ hổng từng được công bố tại cuộc thi hack Pwn2Own.

Eye Security cho biết lỗ hổng này cho phép tin tặc truy cập máy chủ SharePoint và đánh cắp khóa bảo mật, từ đó giả mạo người dùng hoặc dịch vụ kể cả sau khi hệ thống đã được cập nhật. Nhóm cũng cảnh báo rằng tin tặc có thể duy trì quyền truy cập thông qua cửa hậu hoặc thành phần đã bị chỉnh sửa, có khả năng tồn tại qua các lần cập nhật và khởi động lại hệ thống.

Người phát ngôn Microsoft từ chối bình luận thêm ngoài tuyên bố chính thức của công ty.

Microsoft hiện đang đối mặt với nhiều vụ tấn công mạng trong thời gian gần đây. Hồi tháng 3, hãng từng cảnh báo rằng các nhóm tin tặc có liên quan đến Trung Quốc đang nhắm vào các công cụ quản trị từ xa và ứng dụng đám mây để theo dõi nhiều doanh nghiệp tại Mỹ và nước ngoài.

Hội đồng Đánh giá An toàn Mạng (Cyber Safety Review Board) — nhóm được Nhà Trắng thành lập để giám sát các vụ tấn công mạng nghiêm trọng — từng kết luận vào năm ngoái rằng văn hóa bảo mật tại Microsoft là “không đạt yêu cầu,” sau vụ tấn công vào hệ thống Exchange Online năm 2023. Khi đó, kẻ tấn công đã xâm nhập dữ liệu của 22 tổ chức và hàng trăm cá nhân, bao gồm cả cựu Bộ trưởng Thương mại Mỹ Gina Raimondo.