Giới chuyên gia đang đặc biệt lo ngại sau khi hãng Microsoft phát cảnh báo về một lỗ hổng "zero-day" nghiêm trọng trong phần mềm máy chủ SharePoint. Lỗ hổng này có thể bị tin tặc lợi dụng để tấn công các hệ thống mà nhiều cơ quan chính phủ và doanh nghiệp đang sử dụng để chia sẻ tài liệu nội bộ.
Ông Adam Meyers, Phó Chủ tịch cấp cao Công ty an ninh mạng CrowdStrike cho biết: "Bất kỳ ai sở hữu máy chủ SharePoint được lưu trữ bên ngoài đều gặp phải vấn đề" và đây là "một lỗ hổng nghiêm trọng".
Theo Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA), lỗ hổng này, còn được gọi là "ToolShell", là một biến thể của lỗ hổng CVE-2025-49706 hiện có.
Lỗ hổng này gây rủi ro cho các tổ chức có máy chủ SharePoint cài đặt tại chỗ (on-premises), cho phép tin tặc truy cập đầy đủ vào các hệ thống tệp SharePoint, bao gồm cả các dịch vụ được kết nối như Teams và OneDrive.
Bộ phận Phân tích mối đe dọa an ninh mạng của Google cũng cảnh báo rằng lỗ hổng này có thể cho phép tin tặc "vượt qua các bản vá trong tương lai".
Microsoft xác nhận rằng dịch vụ SharePoint Online dựa trên đám mây của họ không bị ảnh hưởng bởi lỗ hổng này.
Tuy nhiên, ông Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Phân tích mối đe dọa an ninh mạng của Đơn vị Nghiên cứu bảo mật Unit 42 tại Palo Alto Networks cảnh báo rằng, lỗ hổng vẫn đang đặt nhiều tổ chức, cá nhân vào tầm ngắm của tin tặc.
Ông giải thích: "Mặc dù môi trường đám mây không bị ảnh hưởng, nhưng việc triển khai SharePoint tại chỗ – đặc biệt là trong chính phủ, trường học, cơ sở y tế và các công ty doanh nghiệp lớn – đang gặp rủi ro ngay lập tức".
Các tổ chức an ninh mạng quốc tế vào ngày 21/7 thông báo rằng, cuộc tấn công quy mô lớn này đã xâm nhập hệ thống của khoảng 100 tổ chức khác nhau, bao gồm nhiều doanh nghiệp và cơ quan chính phủ.
Ông Vaisha Bernard, chuyên gia cấp cao về tin tặc tại Công ty an ninh mạng Eye Security (Hà Lan), người đã phát hiện ra chiến dịch tấn công nhắm vào một trong những khách hàng của mình vào ngày 18/7 cho biết, công ty đã quét hơn 80.000 máy chủ SharePoint trên toàn thế giới cùng với hãng bảo mật Shadowserver Foundation và phát hiện gần 100 nạn nhân. Chuyên gia này từ chối tiết lộ danh tính các tổ chức bị ảnh hưởng, song cho biết các cơ quan, quốc gia liên quan đã được thông báo.
Shadowserver Foundation tiết lộ hầu hết các tổ chức bị ảnh hưởng đều ở Mỹ và Đức, trong đó có cả các tổ chức chính phủ.
Trong khi đó, Trung tâm An ninh mạng quốc gia Anh cũng tuyên bố đã nắm được thông tin về "một số lượng hạn chế" các mục tiêu ở nước này.
Mặc dù phạm vi và mức độ của cuộc tấn công vẫn đang được đánh giá, CISA cảnh báo rằng tác động có thể lan rộng. Cơ quan này khuyến nghị bất kỳ máy chủ nào bị ảnh hưởng bởi lỗ hổng này cần ngắt kết nối với internet cho đến khi chúng được vá bảo mật.
