Ngày 7/7/2025, Microsoft đã phát đi cảnh báo bảo mật khẩn cấp liên quan đến một chiến dịch tấn công có chủ đích và đang diễn ra nhằm vào hệ thống SharePoint Server on-premises. Được biết, chiến dịch tấn công này do ba nhóm tin tặc nổi tiếng có trụ sở tại Trung Quốc đứng sau, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các nhóm tấn công mạng này đã khai thác một loạt các lỗ hổng bảo mật nghiêm trọng trong hệ thống SharePoint Server, cho phép chúng vượt qua các biện pháp xác thực, thực thi mã từ xa và quan trọng hơn là chiếm quyền kiểm soát hệ thống nội bộ của các tổ chức.
Đặc biệt, vào ngày 18/7/2025, một trong những nạn nhân bị xâm nhập đã được xác định là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ có một số hệ thống bị ảnh hưởng và chưa có bằng chứng về việc rò rỉ dữ liệu mật, sự cố này đã phơi bày quy mô và mức độ tinh vi của làn sóng tấn công mạng này. Theo thông tin từ Microsoft, bốn lỗ hổng bảo mật đã được xác định là CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771, ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ.
Trong một nỗ lực nhằm ngăn chặn và giảm thiểu thiệt hại từ làn sóng tấn công này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng. Song song với đó, Microsoft cũng đưa ra khuyến nghị cho các tổ chức về việc triển khai ngay các biện pháp phòng thủ cần thiết. Điều này bao gồm việc kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, thực hiện xoay vòng khóa xác thực ASP.NET và tiến hành khởi động lại dịch vụ IIS. Những biện pháp này được đánh giá là cần thiết để bảo vệ hệ thống trước các cuộc tấn công mạng đang diễn ra.
Không chỉ Microsoft, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) của Mỹ cũng đã đưa ra thông báo khẩn cấp. Vào ngày 22/7/2025, CISA đã thêm CVE-2025-53771 vào danh sách các lỗ hổng cần khắc phục khẩn cấp, với thời hạn thực hiện chỉ một ngày sau đó. Các chuyên gia an ninh mạng đánh giá cao sự kết hợp giữa khả năng vượt qua xác thực và thực thi mã từ xa, vì đây là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu, một loại tấn công ngày càng phổ biến và nguy hiểm.
Trong bối cảnh hiện nay, việc cập nhật bản vá không còn là một lựa chọn mà đã trở thành hành động sống còn. Điều này đặc biệt đúng khi kẻ tấn công đã có sẵn “đường đi” và chỉ chờ thời cơ để bước vào. Sự nhanh chóng và chủ động trong việc triển khai các biện pháp bảo mật sẽ giúp các tổ chức và doanh nghiệp bảo vệ hệ thống của mình trước những mối đe dọa ngày càng tăng và ngày càng tinh vi từ các nhóm tin tặc.
