Ai có thể ngờ được rằng một tính năng tiện ích nhất của Microsoft lại trở thành "cửa ngách" cho tin tặc xâm nhập? Các chuyên gia an ninh mạng vừa phát hiện ra chiến dịch tấn công tinh vi đang lợi dụng tính năng Self-Service Password Reset (đặt lại mật khẩu tự phục vụ) để đánh cắp dữ liệu từ các môi trường Microsoft 365 và Azure. Điều đáng lo ngại nhất là những kẻ tấn công này không sử dụng malware hay khai thác lỗ hổng bảo mật, mà lại lạm dụng chính các tính năng quản trị hợp pháp của hệ thống. Chúng tôi cho rằng đây là một bước tiến nguy hiểm trong xu hướng "living off the land" - sống dựa trên đất của kẻ thù.

Khi tính năng bảo mật trở thành vũ khí tấn công

Self-Service Password Reset (SSPR) vốn được Microsoft thiết kế nhằm giúp người dùng tự đặt lại mật khẩu mà không cần sự hỗ trợ từ IT. Tuy nhiên, threat actor (kẻ đe dọa) trong chiến dịch này đã biến tính năng hữu ích này thành công cụ xâm nhập. Họ sử dụng SSPR để thay đổi mật khẩu của các tài khoản đã được xâm phạm, đảm bảo quyền truy cập liên tục ngay cả khi nạn nhân phát hiện ra sự bất thường.

Chúng tôi phân tích thấy chiến thuật này đặc biệt nguy hiểm vì nó tận dụng các quy trình quản trị bình thường. Thay vì để lại dấu vết của mã độc hay hoạt động bất thường, tin tặc hoà mình vào luồng hoạt động hàng ngày của tổ chức. Các log hệ thống sẽ ghi nhận những hành động này như các thao tác quản trị thông thường, khiến việc phát hiện trở nên cực kỳ khó khăn.

Phẫu thuật chiến thuật "ma lai ma đi"

Các chuyên gia bảo mật mô tả cuộc tấn công này như một "ghost operation" - hoạt động ma lai ma đi. Kẻ tấn công không chỉ dừng lại ở việc lạm dụng SSPR mà còn kết hợp với nhiều legitimate applications (ứng dụng hợp pháp) khác trong hệ sinh thái Microsoft. Họ sử dụng các PowerShell script, Azure CLI, và Graph API - tất cả đều là công cụ quản trị chính thức của Microsoft.

Điều khiến chúng tôi lo lắng nhất là khả năng "persistence" (duy trì truy cập) của nhóm tin tặc này. Sau khi chiếm quyền kiểm soát tài khoản ban đầu, họ lập tức thiết lập nhiều backdoor khác nhau thông qua việc tạo Service Principal, đăng ký ứng dụng mới, và thiết lập các quyền truy cập dự phòng. Kỹ thuật này đảm bảo rằng ngay cả khi một phương thức truy cập bị phát hiện và chặn, họ vẫn có thể quay lại thông qua những "cửa sau" khác.

Tác động tàn phá đến doanh nghiệp

Theo đánh giá của chúng tôi, chiến dịch tấn công này có thể ảnh hưởng đến hàng ngàn doanh nghiệp đang sử dụng Microsoft 365 và Azure trên toàn cầu. Tại Việt Nam, với việc ngày càng nhiều tổ chức chuyển đổi số và sử dụng cloud services, mối đe dọa này trở nên đặc biệt nghiêm trọng. Báo cáo từ VNISA (Hiệp hội An ninh thông tin Việt Nam) cho thấy 78% doanh nghiệp Việt Nam đang sử dụng ít nhất một dịch vụ cloud của Microsoft.

Dữ liệu bị đánh cắp trong các vụ tấn công này không chỉ bao gồm thông tin nội bộ của tổ chức mà còn có thể là dữ liệu khách hàng, tài liệu tài chính, và thông tin chiến lược kinh doanh. Chúng tôi ước tính thiệt hại trung bình cho mỗi vụ việc có thể lên đến hàng trăm nghìn USD, chưa kể đến tổn hại về uy tín và niềm tin của khách hàng.

Lộ trình phòng thủ khẩn cấp cho doanh nghiệp

Trước mối đe dọa này, chúng tôi khuyến nghị các doanh nghiệp Việt Nam thực hiện ngay các biện pháp bảo vệ sau đây. Đầu tiên, kiểm tra và rà soát toàn bộ cấu hình SSPR trong Azure Active Directory. Hãy vô hiệu hóa SSPR đối với các tài khoản có quyền quản trị cao và chỉ cho phép reset mật khẩu thông qua quy trình được giám sát chặt chẽ. Thứ hai, triển khai Multi-Factor Authentication (MFA) bắt buộc cho tất cả tài khoản, đặc biệt là các tài khoản có quyền truy cập vào dữ liệu nhạy cảm.

Bên cạnh đó, các tổ chức cần thiết lập monitoring system (hệ thống giám sát) để theo dõi các hoạt động SSPR bất thường. Thiết lập cảnh báo tự động khi có nhiều hơn một lần đặt lại mật khẩu từ cùng một IP address trong thời gian ngắn, hoặc khi có hoạt động SSPR từ các địa điểm địa lý bất thường. Cuối cùng, thực hiện audit định kỳ tất cả các service principal, registered applications và permissions trong môi trường Azure để phát hiện sớm những thay đổi trái phép.