Ngày 7/7/2025, Microsoft vừa phát đi cảnh báo bảo mật khẩn cấp liên quan đến một chiến dịch tấn công mạng có chủ đích và mức độ nghiêm trọng cao, nhắm vào các hệ thống SharePoint Server on-premises. Được biết, chiến dịch này do ba nhóm tin tặc nổi tiếng đến từ Trung Quốc thực hiện, gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các cuộc tấn công đã khai thác thành công một chuỗi các lỗ hổng bảo mật nghiêm trọng hiện có trong hệ thống, cho phép kẻ tấn công vượt qua cơ chế xác thực, tiến tới thực thi mã từ xa và chiếm quyền kiểm soát hệ thống nội bộ của tổ chức.
Đáng chú ý, vào ngày 18/7/2025, một trong những nạn nhân bị xác nhận rơi vào tầm tấn công là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ một số hệ thống bị ảnh hưởng và hiện tại chưa phát hiện bất kỳ dấu hiệu rò rỉ dữ liệu mật, sự việc đã phơi bày quy mô cũng như mức độ tinh vi của làn sóng tấn công mạng này.
Qua quá trình điều tra, Microsoft đã xác định được bốn lỗ hổng bảo mật chính bị khai thác trong đợt tấn công này, bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này đều ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition khi được cài đặt tại chỗ.
Trước mối đe dọa ngày càng gia tăng, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm khắc phục những lỗ hổng đã được xác định. Đồng thời, Microsoft cũng đưa ra khuyến nghị các tổ chức nên triển khai ngay các biện pháp phòng thủ nhằm tăng cường bảo mật cho hệ thống của mình. Một số biện pháp khuyến nghị gồm có kích hoạt AMSI (Anti-Malware Scan Interface) ở chế độ Full Mode, trang bị và cập nhật Microsoft Defender Antivirus, tiến hành xoay vòng khóa xác thực ASP.NET và thực hiện việc khởi động lại dịch vụ IIS.
Cục An ninh Sàn giao dịch và Hạ tầng (CISA) đã chính thức thêm CVE-2025-53771 vào danh sách các lỗ hổng cần khắc phục khẩn cấp vào ngày 22/7/2025, với thời hạn thực hiện chỉ sau đó một ngày. Các chuyên gia an ninh mạng cũng lên tiếng cảnh báo rằng sự kết hợp giữa khả năng bypass xác thực và thực thi mã từ xa chính là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu, một hình thức tấn công ngày càng phổ biến và nguy hiểm.
Trong bối cảnh các lỗ hổng bảo mật đã được công bố và kẻ tấn công có sẵn “đường đi”, việc cập nhật bản vá không còn là một lựa chọn mà đã trở thành hành động sống còn đối với các tổ chức và doanh nghiệp nhằm ngăn chặn những cuộc tấn công tương tự trong tương lai.