Một cuộc tấn công mạng tinh vi nhắm vào phần mềm SharePoint của Microsoft đã xâm phạm hàng trăm tổ chức trên toàn thế giới, bao gồm cả Cơ quan An ninh Hạt nhân Quốc gia Mỹ ( NNSA ), cơ quan giám sát kho vũ khí hạt nhân của Mỹ. Vụ vi phạm này làm nổi bật những rủi ro bảo mật ngày càng gia tăng khi các tổ chức tiếp tục sử dụng phần mềm cũ tại chỗ trong khi Microsoft đang chuyển đổi người dùng sang các giải pháp thay thế dựa trên đám mây.
Lỗ Hổng Zero-Day Được Khai Thác Bởi Các Tác Nhân Nhà Nước
Cuộc tấn công bắt đầu vào ngày 18 tháng 7 năm 2024, khi nhiều nhóm hacker, bao gồm các tác nhân được nhà nước Trung Quốc tài trợ được xác định là Linen Typhoon , Violet Typhoon và Storm-2603 , đã khai thác lỗ hổng zero-day trong các phiên bản SharePoint Server cũ hơn, được lưu trữ tự quản. Lỗ hổng này đặc biệt ảnh hưởng đến các cài đặt tại chỗ và không tác động đến nền tảng đám mây M365 của Microsoft . Điều khiến cuộc tấn công này đặc biệt đáng lo ngại là nó nhắm vào một lỗ hổng trong chính bản vá bảo mật của Microsoft , có nghĩa là ngay cả những tổ chức siêng năng áp dụng các bản cập nhật vẫn dễ bị tổn thương.
Các Nhóm Hacker Trung Quốc Được Xác Định
- Linen Typhoon - Nhóm được nhà nước tài trợ
- Violet Typhoon - Nhóm được nhà nước tài trợ
- Storm-2603 - Nhóm được nhà nước tài trợ
Các nhóm này đã khai thác lỗ hổng bảo mật của SharePoint để đánh cắp thông tin xác thực và duy trì quyền truy cập dài hạn vào các hệ thống chính phủ.
Cơ Quan An Ninh Hạt Nhân Nằm Trong Số Các Nạn Nhân Cấp Cao
NNSA , một cánh tay bán tự trị của Bộ Năng lượng chịu trách nhiệm thiết kế, bảo trì và tháo dỡ đầu đạn hạt nhân, đã xác nhận rằng họ nằm trong số các nạn nhân. Tuy nhiên, Bộ Năng lượng nhấn mạnh rằng không có dữ liệu mật hoặc nhạy cảm nào bị xâm phạm do cơ quan sử dụng rộng rãi nền tảng đám mây M365 của Microsoft và hệ thống an ninh mạng mạnh mẽ. Đây là vụ vi phạm lớn thứ hai ảnh hưởng đến NNSA trong những năm gần đây, sau cuộc tấn công SolarWinds năm 2020 cũng liên quan đến các tác nhân nhà nước.
Tác Động Toàn Cầu Trải Rộng Khắp Các Lĩnh Vực Chính Phủ Và Giáo Dục
Phạm vi tấn công mở rộng xa hơn các cơ sở hạt nhân của Mỹ. Các nạn nhân bao gồm Bộ Giáo dục Mỹ, Sở Thuế vụ Florida , Hội đồng Đại biểu Rhode Island và nhiều chính phủ quốc gia khắp châu Âu và Trung Đông. Bản chất lan rộng của vụ vi phạm cho thấy cách thức các kẻ tấn công có hệ thống nhắm vào các tổ chức vẫn dựa vào các cài đặt SharePoint cũ được tiếp xúc với internet.
Các Tổ Chức Bị Ảnh Hưởng Bởi Vụ Tấn Công
- US National Nuclear Security Administration (NNSA)
- US Department of Education
- Florida Department of Revenue
- Rhode Island General Assembly
- Nhiều chính phủ quốc gia ở châu Âu
- Nhiều chính phủ quốc gia ở Trung Đông
- Hàng trăm tổ chức khác trên toàn thế giới
Phần Mềm Cũ Tạo Ra Các Điểm Mù Bảo Mật
Các chuyên gia bảo mật chỉ ra một xu hướng nguy hiểm khi các tổ chức tiếp tục vận hành các máy chủ SharePoint cũ hơn mà không có bảo trì hoặc giám sát bảo mật đầy đủ. Những cài đặt tại chỗ này thường vẫn có thể truy cập internet trong khi nhận được sự chú ý hoặc phân bổ ngân sách tối thiểu cho việc cập nhật và giám sát. Jake Williams , phó chủ tịch nghiên cứu và phát triển tại Hunter Strategy , cảnh báo rằng các tổ chức để lộ máy chủ SharePoint ra internet phải lập ngân sách cho việc ứng phó sự cố vì sự xâm phạm là không thể tránh khỏi.
Bản Vá Lỗi Của Microsoft Làm Phức Tạp Thêm Vấn Đề
Lỗ hổng này bắt nguồn từ một lỗ hổng SharePoint được phát hiện tại cuộc thi hacking Pwn2Own ở Berlin vào tháng 5 năm 2024. Bản vá ban đầu của Microsoft , được phát hành vào đầu tháng, chứa các lỗ hổng bảo mật riêng của nó, khiến ngay cả những tổ chức có ý thức bảo mật cũng dễ bị tổn thương. Công ty sau đó đã phát hành những gì họ gọi là các biện pháp bảo vệ mạnh mẽ hơn để giải quyết bản sửa lỗi có vấn đề, nhưng không phải trước khi các kẻ tấn công đã bắt đầu khai thác trên diện rộng.
Lịch Trình Kết Thúc Vòng Đời Gây Áp Lực Lên Các Tổ Chức
Microsoft hiện tại hỗ trợ các phiên bản SharePoint Server 2016 và 2019 với các bản cập nhật bảo mật, nhưng cả hai sẽ kết thúc hỗ trợ vào ngày 14 tháng 7 năm 2026. SharePoint Server 2013 và các phiên bản cũ hơn đã kết thúc vòng đời và chỉ nhận được các bản cập nhật bảo mật quan trọng thông qua dịch vụ SharePoint Server Subscription Edition trả phí của Microsoft . Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ đã khuyến nghị ngắt kết nối các cài đặt SharePoint Server đối diện công chúng đã kết thúc vòng đời, đặc biệt là SharePoint Server 2013 và các phiên bản cũ hơn.
Lộ trình hỗ trợ SharePoint Server
| Phiên bản | Trạng thái hiện tại | Ngày kết thúc hỗ trợ |
|---|---|---|
| SharePoint Server 2019 | Được hỗ trợ | 14 tháng 7, 2026 |
| SharePoint Server 2016 | Được hỗ trợ | 14 tháng 7, 2026 |
| SharePoint Server 2013 | Kết thúc vòng đời | Chỉ cập nhật quan trọng qua dịch vụ trả phí |
| Các phiên bản cũ hơn | Kết thúc vòng đời | Chỉ cập nhật quan trọng qua dịch vụ trả phí |
Thách Thức Và Chi Phí Di Chuyển Lên Đám Mây
Các tổ chức phải đối mặt với những quyết định khó khăn giữa việc duy trì các hệ thống tại chỗ quen thuộc mà không tốn thêm chi phí cấp phép so với việc di chuyển sang các dịch vụ đám mây dựa trên đăng ký của Microsoft . Nhiều cơ quan chính phủ và tổ chức ban đầu đã đầu tư vào SharePoint như một sự thay thế an toàn cho các công cụ chia sẻ tệp Windows truyền thống, khiến việc chuyển đổi sang các giải pháp thay thế dựa trên đám mây vừa tốn kém vừa phức tạp. Sáng kiến Tương lai An toàn của Microsoft thừa nhận thách thức này, với công ty tuyên bố cam kết hỗ trợ các tổ chức trên toàn bộ phổ áp dụng đám mây.