Bạn có nghĩ rằng tin tặc đang trở nên "thông minh" hơn? Báo cáo mới nhất từ BeyondTrust cho thấy một xu hướng đáng lo ngại: số lượng lỗ hổng nghiêm trọng trong hệ sinh thái Microsoft đã tăng gấp đôi năm 2025, dù tổng số lỗ hổng phát hiện vẫn giữ ở mức ổn định. Điều này cho thấy tin tặc đang chuyển hướng chiến thuật từ tấn công "thô bạo" sang các phương thức tinh vi hơn. Chúng tôi cho rằng đây là tín hiệu báo động đỏ cho cộng đồng an ninh mạng toàn cầu và Việt Nam.

Khi tin tặc học cách "leo thang" thay vì "đập cửa"

Thay vì tìm kiếm các lỗ hổng cho phép xâm nhập trực tiếp vào hệ thống, tin tặc hiện tập trung vào privilege escalation (leo thang đặc quyền) và identity abuse (lạm dụng danh tính). Privilege escalation là kỹ thuật cho phép kẻ tấn công nâng cấp quyền truy cập từ user thông thường lên admin hoặc system. Điều này có nghĩa gì? Chúng ta đang chứng kiến sự tiến hóa trong tư duy tội phạm mạng.

Số liệu từ BeyondTrust cho thấy các lỗ hổng critical (nghiêm trọng) liên quan đến Windows, Office và Azure Active Directory chiếm tỷ lệ cao nhất trong danh sách CVE (Common Vulnerabilities and Exposures - hệ thống mã hóa lỗ hổng bảo mật quốc tế) năm 2025. Đặc biệt, các lỗ hổng cho phép tin tặc chiếm quyền điều khiển identity management system (hệ thống quản lý danh tính) tăng mạnh. Chúng tôi đánh giá đây là xu hướng nguy hiểm nhất hiện tại.

Từ "cửa trước" đến "cửa hậu" - Chiến thuật mới của tội phạm mạng

Phân tích kỹ thuật cho thấy tin tặc đang ưu tiên khai thác các lỗ hổng trong Windows Kernel và authentication protocols (giao thức xác thực). Thay vì tấn công trực diện như malware (phần mềm độc hại) truyền thống, họ chọn cách "núp bóng" dưới danh tính hợp pháp. Kỹ thuật này được gọi là living-off-the-land attacks (tấn công bằng công cụ có sẵn), sử dụng chính các tính năng hệ thống để thực hiện mục đích xấu.

Điểm đáng chú ý nhất là sự gia tăng các lỗ hổng zero-day (lỗ hổng chưa được vá) liên quan đến Microsoft Exchange Server và SharePoint. Những platform này đang trở thành mục tiêu yêu thích vì chứa đựng lượng lớn dữ liệu doanh nghiệp nhạy cảm. Chúng tôi nhận định rằng việc làm việc từ xa sau COVID-19 đã làm tăng giá trị của các mục tiêu này trong mắt tin tặc.

Tác động "cú sốc" - Ai đang gánh chịu hậu quả?

Doanh nghiệp vừa và nhỏ (SMEs) đang chịu tác động nặng nề nhất. Theo thống kê của Cục An toàn thông tin, Việt Nam ghi nhận hơn 12.000 vụ tấn công mạng trong năm 2024, trong đó 65% nhắm vào các doanh nghiệp sử dụng hệ sinh thái Microsoft. Con số này dự kiến sẽ tăng mạnh khi các lỗ hổng mới được khai thác rộng rãi.

Đáng lo ngại hơn, thời gian phát hiện và ứng phó với các cuộc tấn công privilege escalation trung bình kéo dài 287 ngày - gấp đôi so với các hình thức tấn công truyền thống. Trong khoảng thời gian này, tin tặc có thể "ngồi lì" trong hệ thống, thu thập thông tin và mở rộng phạm vi kiểm soát mà không bị phát hiện. Chúng tôi cho rằng đây là lý do tại sao các cuộc tấn công hiện tại gây thiệt hại lớn hơn nhiều so với trước đây.

"Vaccine" cho doanh nghiệp - Hành động ngay trước khi quá muộn

Doanh nghiệp Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, kích hoạt Windows Defender Credential Guard và Application Guard để bảo vệ thông tin đăng nhập. Thứ hai, triển khai multi-factor authentication (MFA - xác thực đa yếu tố) cho tất cả tài khoản admin và user có quyền truy cập dữ liệu nhạy cảm. Thứ ba, thường xuyên audit (kiểm tra) quyền truy cập và loại bỏ các tài khoản không còn sử dụng.

Quan trọng nhất là thiết lập monitoring system (hệ thống giám sát) để phát hiện các hoạt động bất thường như privilege escalation attempts (nỗ lực leo thang đặc quyền) và unusual authentication patterns (mẫu xác thực bất thường). Chúng tôi khuyến nghị các doanh nghiệp nhỏ nên cân nhắc sử dụng dịch vụ Security Operations Center (SOC) của các nhà cung cấp uy tín trong nước để có thể phản ứng kịp thời với các mối đe dọa mới.