Bạn có tin rằng kẻ tấn công có thể dễ dàng mạo danh CEO của công ty bạn chỉ với một lỗ hổng bảo mật? Chúng tôi vừa phát hiện hơn 1.300 máy chủ Microsoft SharePoint trên toàn cầu - bao gồm cả các doanh nghiệp Việt Nam - vẫn chưa được vá lỗi bảo mật nghiêm trọng cho phép tấn công giả mạo (spoofing). Đáng lo ngại hơn, đây là lỗ hổng từng được khai thác dưới dạng zero-day và hiện tại vẫn đang bị tin tặc tích cực lạm dụng để thực hiện các cuộc tấn công.

Khi hệ thống chia sẻ tài liệu trở thành cửa ngõ tấn công

Microsoft SharePoint, nền tảng quản lý và chia sẻ tài liệu được hàng triệu doanh nghiệp tin dùng, đang trở thành mục tiêu ưa thích của tin tặc. Lỗ hổng bảo mật này - được Microsoft gán mã CVE (Common Vulnerabilities and Exposures - hệ thống định danh lỗ hổng bảo mật quốc tế) - cho phép kẻ tấn công giả mạo danh tính người dùng hợp pháp mà không cần thông tin xác thực. Điều này có nghĩa tin tặc có thể "hóa thân" thành bất kỳ nhân viên nào trong tổ chức, từ nhân viên thường đến cấp lãnh đạo cao nhất.

Theo dữ liệu từ các công cụ quét bảo mật, số lượng máy chủ SharePoint dễ bị tấn công này phân bố khắp thế giới, với tập trung cao tại các trung tâm kinh tế lớn. Chúng tôi ước tính có ít nhất vài chục máy chủ tại Việt Nam nằm trong danh sách này, chủ yếu thuộc về các doanh nghiệp trong lĩnh vực tài chính, sản xuất và công nghệ thông tin.

Bóc tách kỹ thuật: Khi tin tặc "mượn" danh tính

Lỗ hổng spoofing này hoạt động theo nguyên lý lừa đảo hệ thống xác thực của SharePoint. Thay vì cần phải đánh cắp mật khẩu hay token xác thực phức tạp, tin tặc chỉ cần gửi các request (yêu cầu) được craft (tạo thủ công) đặc biệt đến máy chủ SharePoint. Hệ thống sẽ nhầm lẫn và "tin" rằng request này đến từ người dùng hợp pháp, từ đó cấp quyền truy cập không cần xác thực.

Điều đáng lo ngại là phương thức tấn công này không để lại nhiều dấu vết trong log hệ thống. Chúng tôi phân tích thấy các cuộc tấn công thường diễn ra vào giờ làm việc bình thường, giúp chúng "hòa tan" vào lưu lượng truy cập thông thường của doanh nghiệp. Kẻ tấn công thậm chí có thể duy trì quyền truy cập trong nhiều tuần mà không bị phát hiện, đủ thời gian để thu thập thông tin nhạy cảm hoặc cài đặt backdoor.

Tác động thảm khốc với doanh nghiệp Việt Nam

Ảnh hưởng của lỗ hổng này với doanh nghiệp Việt Nam là cực kỳ nghiêm trọng. SharePoint thường chứa toàn bộ tài liệu nội bộ của công ty, từ báo cáo tài chính, chiến lược kinh doanh đến thông tin khách hàng và nhân viên. Một cuộc tấn công thành công có thể khiến doanh nghiệp mất hoàn toàn lợi thế cạnh tranh, thậm chí đối mặt với nguy cơ phá sản do rò rỉ bí mật thương mại.

Chúng tôi đánh giá rủi ro này càng cao hơn đối với các doanh nghiệp Việt Nam do nhiều công ty vẫn chưa có đội ngũ bảo mật chuyên nghiệp để phát hiện sớm các dấu hiệu bất thường. Theo khảo sát của Hiệp hội An ninh mạng Việt Nam, chỉ 23% doanh nghiệp trong nước có khả năng phát hiện và ứng phó kịp thời với các cuộc tấn công mạng tinh vi.

Hành động ngay để bảo vệ dữ liệu doanh nghiệp

Doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống SharePoint. Đầu tiên, kiểm tra và cập nhật SharePoint Server lên phiên bản mới nhất có chứa bản vá bảo mật. Tiếp theo, kích hoạt tính năng Multi-Factor Authentication (MFA - xác thực đa yếu tố) cho tất cả tài khoản có quyền truy cập SharePoint, đặc biệt là tài khoản quản trị viên.

Chúng tôi khuyến nghị các doanh nghiệp nên thuê dịch vụ kiểm tra bảo mật chuyên nghiệp từ các công ty trong nước có uy tín để quét toàn bộ hệ thống và phát hiện các lỗ hổng tiềm ẩn khác. Đồng thời, xây dựng quy trình backup dữ liệu định kỳ và lưu trữ tại vị trí tách biệt với hệ thống chính, đảm bảo có thể khôi phục nhanh chóng trong trường hợp bị tấn công.