acecook

Cảnh báo lỗ hổng phần mềm dùng cho hệ thống quản lý văn bản tại nhiều cơ quan, tổ chức, doanh nghiệp

An ninh an toàn mạng
28/07/2025 04:04
Theo các chuyên gia Bkav, có tới 4 lỗ hổng zero-day nghiêm trọng tồn tại trên các phiên bản SharePoint Server 2016, 2019 và Subscription Edition, cho phép tin tặc chiếm quyền điều khiển hệ thống từ xa mà không cần xác thực.
aa
Cảnh báo lỗ hổng phần mềm dùng cho hệ thống quản lý văn bản tại nhiều cơ quan, tổ chức, doanh nghiệp
Nguy cơ tấn công APT từ loạt lỗ hổng trên phần mềm SharePoint Server của Microsoft

Đặc biệt, khi kết hợp khai thác 2 trong số các lỗ hổng này, hacker có thể kiểm soát sâu vào hệ thống và duy trì truy cập lâu dài. Đây là "môi trường lý tưởng" cho các chiến dịch tấn công gián điệp APT (Advanced Persistent Threat), đánh cắp hoặc mã hóa dữ liệu nhạy cảm.

Chuyên gia Bkav cũng cho biết, các lỗ hổng này đang bị khai thác trên diện rộng tại nhiều quốc gia. Ít nhất 85 máy chủ SharePoint đã bị cài mã độc web shell, gây ảnh hưởng đến 29 tổ chức trên toàn cầu. Trong số nạn nhân có nhiều tập đoàn đa quốc gia và cơ quan chính phủ, bao gồm cả Cơ quan an ninh hạt nhân quốc gia Hoa Kỳ (NNSA).

Tại Việt Nam, SharePoint Server được sử dụng trong quản lý văn bản tại nhiều cơ quan, tổ chức và các doanh nghiệp công nghệ, tài chính lớn. Đến hiện tại, tuy chưa ghi nhận trường hợp bị tấn công, nguy cơ bị khai thác bởi các lỗ hổng này được đánh giá ở mức rất cao, đặc biệt là tại các đơn vị đang triển khai SharePoint Server theo mô hình cài đặt tại chỗ (on-premise) mà chưa kịp thời cập nhật vá lỗi.

Quá trình tấn công có thể xuất phát từ một điểm trong mạng nội bộ, sử dụng kỹ thuật tinh vi, khó bị phát hiện. Tin tặc có thể bí mật cài cắm mã độc trên một máy trạm nội bộ, từ đó âm thầm rà quét, mở rộng kiểm soát và từng bước chiếm quyền toàn bộ hệ thống.

Các nhóm tấn công APT thường tận dụng những thời điểm như thế này, khi các hệ thống tồn tại lỗ hổng chưa được vá, để xâm nhập và duy trì sự hiện diện lâu dài. Vì vậy, Bkav đặc biệt kiến nghị các nhà quản trị hệ thống khẩn trương rà soát, siết chặt lại các quyền truy cập từ nội bộ để chặn đứng nguy cơ bị tấn công từ bên trong.

Đối với các cơ quan cấp Bộ có phân quyền truy cập cho các đơn vị địa phương, chuyên gia đề nghị cần lập tức rà soát và giới hạn các quyền này nếu hệ thống chưa được cập nhật bản vá hoặc chưa có biện pháp khắc phục triệt để. Việc cập nhật bản vá lỗ hổng cần thực hiện càng sớm càng tốt.

Đồng thời, cần tăng cường các biện pháp giám sát, giới hạn quyền truy cập từ bên ngoài, triển khai tường lửa ứng dụng web (WAF), theo dõi nhật ký truy cập hệ thống và thiết lập cơ chế cảnh báo sớm khi có dấu hiệu bất thường.

Đối với các đơn vị chưa có đội ngũ chuyên trách về an toàn thông tin, cần chủ động liên hệ với các trung tâm ứng cứu sự cố để được tư vấn, hỗ trợ kịp thời.

SharePoint Server là nền tảng quản lý tài liệu và cộng tác doanh nghiệp do Microsoft phát triển. Hệ thống cho phép lưu trữ, chia sẻ, tìm kiếm và quản lý tài liệu tập trung, đồng thời hỗ trợ xây dựng các trang web nội bộ (Intranet), cổng thông tin doanh nghiệp, tích hợp sâu với Microsoft Office và Microsoft 365 nhằm nâng cao hiệu suất làm việc nhóm.

chinhphu.vn
mca
Tin bài khác
Thị trường chứng khoán ngày 8/9: VN Index rơi khỏi đường MA20, dòng tiền bắt đáy nhập cuộc mạnh

Thị trường chứng khoán ngày 8/9: VN Index rơi khỏi đường MA20, dòng tiền bắt đáy nhập cuộc mạnh

Lực bán ồ ạt trong phiên 8/9 khiến VN Index mất hơn 2,5% giá trị, lùi về 1.624,53 điểm, mất sâu đường MA20. Dù giảm sâu, thanh khoản thị trường lại tăng mạnh lên trên 53 nghìn tỷ đồng, phản ánh dòng tiền bắt đáy nhập cuộc. Bên cạnh đó, khối ngoại cũng mua ròng gần 1 nghìn tỷ, cho thấy thị trường vẫn còn lực cầu tiềm ẩn.
Tử vi vòng quay công nghệ ngày 9/9/2025: Tuổi Ngọ tiềm ẩn nhiều rủi ro, tuổi Sửu diễn ra ổn định

Tử vi vòng quay công nghệ ngày 9/9/2025: Tuổi Ngọ tiềm ẩn nhiều rủi ro, tuổi Sửu diễn ra ổn định

Những bí ẩn của khoa học đời sống là "món ăn" tinh thần không thể thiếu trong cuộc sống của con người. Tử vi vòng quay công nghệ xem tử vi 12 con giáp ngày 9/9/2025 cho tất cả các tuổi nhằm dự đoán vận hạn về công danh, tiền bạc, tình duyên, sức khỏe...
Biểu đồ kiểm soát quy trình giúp nâng tầm chất lượng sản xuất

Biểu đồ kiểm soát quy trình giúp nâng tầm chất lượng sản xuất

Biểu đồ kiểm soát quy trình là một ứng dụng quan trọng của kiểm soát quy trình bằng thống kê (SPC), được sử dụng trong quản lý quy trình ở nhiều ngành công nghiệp với mục tiêu duy trì tính nhất quán, giảm thiểu biến động và nâng cao chất lượng sản phẩm cũng như dịch vụ. Những biểu đồ này đặc biệt quan trọng trong Six Sigma và các tổ chức sản xuất nhằm đạt được sự ổn định và xuất sắc trong quy trình.
Chuẩn bị tốt nhất để khởi công dự án đường sắt Lào Cai - Hà Nội - Hải Phòng vào 19/12

Chuẩn bị tốt nhất để khởi công dự án đường sắt Lào Cai - Hà Nội - Hải Phòng vào 19/12

Tối 7/9, Thủ tướng Phạm Minh Chính chủ trì cuộc họp rà soát, thúc đẩy triển khai dự án đường sắt tốc độ cao trên trục Bắc-Nam và tuyến đường sắt Lào Cai - Hà Nội - Hải Phòng, giao Bộ Ngoại giao, Bộ Xây dựng rà soát, chuẩn bị tốt nhất để khởi công dự án vào ngày 19/12/2025, theo Công điện số 158/CĐ-TTg của Thủ tướng Chính phủ.
Apple chuẩn bị mang đến loạt thay đổi lớn trên iPhone 17

Apple chuẩn bị mang đến loạt thay đổi lớn trên iPhone 17

Chỉ còn ít ngày nữa, Apple sẽ chính thức trình làng dòng iPhone 17 trong sự kiện thường niên diễn ra lúc 0h ngày 10/9 (giờ Việt Nam). Theo nhiều nguồn tin uy tín như Bloomberg, thế hệ iPhone mới sẽ không chỉ tập trung vào hiệu năng mà còn chú trọng mạnh mẽ đến trải nghiệm thực tế của người dùng.
Nhận định phiên giao dịch ngày 8/9: Áp lực bán lan rộng, VN-Index đối mặt rủi ro từ thanh khoản thấp

Nhận định phiên giao dịch ngày 8/9: Áp lực bán lan rộng, VN-Index đối mặt rủi ro từ thanh khoản thấp

Thị trường chứng khoán khép lại tuần đầu tháng 9 trong sắc đỏ khi áp lực bán lan rộng trên diện rộng, đặc biệt ở nhóm ngân hàng và chứng khoán. VN-Index giảm sâu trong bối cảnh thanh khoản tiếp tục ở mức thấp, làm dấy lên lo ngại về khả năng duy trì đà tăng trong ngắn hạn.
Nền tảng khắc phục thách thức lớn trong việc cho phép robot tương tác với con người và môi trường thực

Nền tảng khắc phục thách thức lớn trong việc cho phép robot tương tác với con người và môi trường thực

Nvidia đã công bố một nền tảng máy tính được thiết kế để cung cấp sức mạnh cho robot trong các ứng dụng bao gồm sản xuất, logistics, giao thông vận tải, chăm sóc sức khỏe, nông nghiệp và bán lẻ. Bộ công cụ phát triển và các mô-đun sản xuất Jetson AGX Thor mang lại hiệu suất tính toán AI cao hơn gấp 7,5 lần, hiệu quả năng lượng tốt hơn 3,5 lần và bộ nhớ gấp đôi so với thế hệ tiền nhiệm Jetson Orin, mở khóa khả năng suy luận theo thời gian thực - yếu tố then chốt cho các ứng dụng AI vật lý hiệu suất cao.
Phát động chiến dịch 90 ngày làm giàu, làm sạch cơ sở dữ liệu đất đai

Phát động chiến dịch 90 ngày làm giàu, làm sạch cơ sở dữ liệu đất đai

Bộ Nông nghiệp và Môi trường kết hợp Bộ Công an vừa ban hành Kế hoạch 151/ /KH-BCA-BNN&MT về việc triển khai thực hiện chiến dịch làm giàu, làm sạch cơ sở dữ liệu (CSDL) quốc gia về đất đai trong 90 ngày.
Bộ Chính trị ban hành Nghị quyết về bảo đảm an ninh năng lượng quốc gia

Bộ Chính trị ban hành Nghị quyết về bảo đảm an ninh năng lượng quốc gia

Tổng Bí thư Tô Lâm đã ký ban hành Nghị quyết số 70-NQ/TW của Bộ Chính trị về bảo đảm an ninh năng lượng quốc gia đến năm 2030, tầm nhìn đến năm 2045.
Một số quy định mới về thực hiện thủ tục biên phòng điện tử cảng biển

Một số quy định mới về thực hiện thủ tục biên phòng điện tử cảng biển

Thủ tướng Chính phủ Phạm Minh Chính vừa ký Quyết định số 31/2025/QĐ-TTg ngày 02/9/2025 sửa đổi, bổ sung một số điều các Quyết định của Thủ tướng Chính phủ về thực hiện thủ tục biên phòng điện tử tại các cửa khẩu do Bộ Quốc phòng quản lý.
song-gia-tri