Microsoft vừa thông báo sẽ ngừng hợp tác với các kỹ sư người Trung Quốc trong các dự án công nghệ liên quan đến quân đội Mỹ. Thông tin này được công bố sau khi một cuộc điều tra làm dấy lên quan ngại về các rủi ro tiềm ẩn liên quan đến an ninh mạng. Động thái này đến trong bối cảnh Bộ trưởng Quốc phòng Mỹ, ông Pete Hegseth, đang tiến hành một cuộc rà soát toàn diện đối với các hợp đồng điện toán đám mây của Lầu Năm Góc.

Theo một báo cáo điều tra từ Hãng tin ProPublica, Microsoft đã cho phép các kỹ sư tại Trung Quốc tham gia vào một số dự án điện toán đám mây cho quân đội Mỹ. Các kỹ sư này hoạt động dưới sự giám sát của những ‘hộ tống kỹ thuật số’ người Mỹ. Tuy nhiên, những người giám sát này thường thiếu chuyên môn kỹ thuật cần thiết để đánh giá liệu công việc của các kỹ sư Trung Quốc có thể gây ra những nguy cơ về an ninh mạng hay không.

Trước những phản ứng dữ dội và nhằm giải quyết các lo ngại về bảo mật, Microsoft đã điều chỉnh chính sách của mình. Cụ thể, công ty này đảm bảo rằng không còn nhóm kỹ sư nào tại Trung Quốc cung cấp hỗ trợ kỹ thuật cho các dịch vụ được sử dụng trong quân đội. Động thái này của Microsoft thể hiện nỗ lực của họ trong việc tăng cường các biện pháp bảo vệ an ninh mạng, đồng thời giảm thiểu rủi ro khi hợp tác với nhân sự đến từ Trung Quốc.

Thượng nghị sĩ Cộng hòa Tom Cotton, người giữ vị trí chủ tịch Ủy ban Tình báo Thượng viện, đã gửi thư yêu cầu Bộ Quốc phòng Mỹ làm rõ thông tin về sự tham gia của nhân sự Trung Quốc trong các hợp đồng quốc phòng. Yêu cầu này thể hiện mối quan ngại sâu sắc về bảo vệ thông tin và đảm bảo an ninh cho các dự án công nghệ của quân đội Mỹ.

Bộ trưởng Quốc phòng Hegseth cũng cam kết mở một cuộc rà soát nhằm xác minh liệu còn kỹ sư nào tại Trung Quốc đang làm việc trong các dự án công nghệ khác của Bộ Quốc phòng hay không. Việc rà soát này cho thấy nỗ lực của Lầu Năm Góc trong việc đảm bảo rằng tất cả các dự án công nghệ của họ đều được bảo vệ khỏi các rủi ro an ninh tiềm ẩn liên quan đến nhân sự.

Ngày 7/7/2025, Microsoft đã phát đi cảnh báo bảo mật khẩn cấp liên quan đến một chiến dịch tấn công có chủ đích và đang diễn ra nhằm vào hệ thống SharePoint Server on-premises. Được biết, chiến dịch tấn công này do ba nhóm tin tặc nổi tiếng có trụ sở tại Trung Quốc đứng sau, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các nhóm tấn công mạng này đã khai thác một loạt các lỗ hổng bảo mật nghiêm trọng trong hệ thống SharePoint Server, cho phép chúng vượt qua các biện pháp xác thực, thực thi mã từ xa và quan trọng hơn là chiếm quyền kiểm soát hệ thống nội bộ của các tổ chức.

Đặc biệt, vào ngày 18/7/2025, một trong những nạn nhân bị xâm nhập đã được xác định là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ có một số hệ thống bị ảnh hưởng và chưa có bằng chứng về việc rò rỉ dữ liệu mật, sự cố này đã phơi bày quy mô và mức độ tinh vi của làn sóng tấn công mạng này. Theo thông tin từ Microsoft, bốn lỗ hổng bảo mật đã được xác định là CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771, ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ.

Trong một nỗ lực nhằm ngăn chặn và giảm thiểu thiệt hại từ làn sóng tấn công này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng. Song song với đó, Microsoft cũng đưa ra khuyến nghị cho các tổ chức về việc triển khai ngay các biện pháp phòng thủ cần thiết. Điều này bao gồm việc kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, thực hiện xoay vòng khóa xác thực ASP.NET và tiến hành khởi động lại dịch vụ IIS. Những biện pháp này được đánh giá là cần thiết để bảo vệ hệ thống trước các cuộc tấn công mạng đang diễn ra.

Không chỉ Microsoft, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) của Mỹ cũng đã đưa ra thông báo khẩn cấp. Vào ngày 22/7/2025, CISA đã thêm CVE-2025-53771 vào danh sách các lỗ hổng cần khắc phục khẩn cấp, với thời hạn thực hiện chỉ một ngày sau đó. Các chuyên gia an ninh mạng đánh giá cao sự kết hợp giữa khả năng vượt qua xác thực và thực thi mã từ xa, vì đây là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu, một loại tấn công ngày càng phổ biến và nguy hiểm.

Trong bối cảnh hiện nay, việc cập nhật bản vá không còn là một lựa chọn mà đã trở thành hành động sống còn. Điều này đặc biệt đúng khi kẻ tấn công đã có sẵn “đường đi” và chỉ chờ thời cơ để bước vào. Sự nhanh chóng và chủ động trong việc triển khai các biện pháp bảo mật sẽ giúp các tổ chức và doanh nghiệp bảo vệ hệ thống của mình trước những mối đe dọa ngày càng tăng và ngày càng tinh vi từ các nhóm tin tặc.

Ngày 21/7, Microsoft đã phát hành một bản cập nhật khẩn cấp để giải quyết hai lỗ hổng bảo mật nghiêm trọng trong nền tảng SharePoint, được xác định là CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này cho phép thực thi mã từ xa (RCE) mà không cần xác thực trên các máy chủ SharePoint, đây là một trong những dạng tấn công nguy hiểm nhất.

Hai lỗ hổng bảo mật này được phát hiện trong cuộc thi tấn công mạng Pwn2Own tại Berlin vào tháng 5. Các đội tham gia đã thành công trong việc khai thác chuỗi lỗ hổng ToolShell để giành quyền kiểm soát hệ thống SharePoint. Mặc dù Microsoft đã phát hành bản vá sơ bộ trong đợt cập nhật tháng 7, nhưng các tin tặc nhanh chóng tìm ra cách vượt qua các lớp bảo vệ này và tiếp tục tấn công hệ thống.

Ước tính của công ty an ninh mạng Censys cho thấy hiện có hơn 10.000 máy chủ SharePoint trên toàn cầu đang có nguy cơ bị xâm nhập, tập trung chủ yếu tại Mỹ, Hà Lan, Anh và Canada. Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) cảnh báo rằng các lỗ hổng này cho phép tin tặc truy cập hệ thống tệp, đọc cấu hình nội bộ và cài đặt mã độc từ xa mà không cần tài khoản đăng nhập.

Nhóm chuyên gia của Google Threat Intelligence mô tả đây là ‘truy cập không cần xác thực một cách liên tục’, trong khi Palo Alto Networks gọi đây là ‘mối đe dọa thực sự và hiện hữu’. Các chiến dịch tấn công hiện tại đang sử dụng các tệp độc hại như spinstall0.aspx và tấn công trực tiếp vào thư mục _layouts – đặc điểm thường thấy trong các đợt tấn công APT có chủ đích và quy mô lớn.

Microsoft đã cung cấp hướng dẫn khắc phục cụ thể cho từng phiên bản hệ thống SharePoint, bao gồm SharePoint Server 2019, SharePoint Server 2016 và SharePoint Subscription Edition. Quản trị viên cần cập nhật khóa máy, khởi động lại dịch vụ IIS trên tất cả máy chủ SharePoint và kiểm tra log hệ thống và nhật ký IIS để phát hiện truy cập trái phép.

Một số dấu hiệu cần lưu ý bao gồm xuất hiện tệp lạ tại đường dẫn C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions16TEMPLATELAYOUTSspinstall0.aspx và log IIS hiển thị các truy cập bất thường. Microsoft cũng cung cấp công cụ truy vấn trong Microsoft 365 Defender giúp phát hiện nhanh các mối đe dọa tiềm tàng liên quan đến ToolShell.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, với Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Theo thông tin được công bố, mặc dù hệ thống của NSA bị xâm nhập, nhưng không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này nằm trong chiến dịch có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Chiến dịch này đã không chỉ nhắm vào Mỹ mà còn nhắm vào Đức và một số nước châu Âu khác, chủ yếu nhắm vào các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Điều này đòi hỏi người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng.

Các chuyên gia bảo mật khuyến cáo rằng việc nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết là rất quan trọng trong tình hình hiện nay. Người dùng cần phải cẩn thận khi nhận được email hoặc các yêu cầu truy cập từ nguồn không rõ ràng, và cần kiểm tra kỹ lưỡng trước khi thực hiện bất kỳ hành động nào.

Như vậy, việc bảo vệ hệ thống và dữ liệu khỏi các cuộc tấn công mạng đang trở nên cấp thiết hơn bao giờ hết. Các tổ chức và cá nhân cần phải phối hợp chặt chẽ với các chuyên gia bảo mật để cập nhật và áp dụng các biện pháp bảo mật mới nhất, nhằm giảm thiểu rủi ro và đảm bảo an toàn cho hệ thống và dữ liệu của mình.