Một chiến dịch khai thác zero-day tinh vi đã nhắm mục tiêu vào các lỗ hổng zero-day chưa được vá trong Microsoft SharePoint Server, gây ảnh hưởng đến khoảng 400 tổ chức trên toàn cầu. Số lượng nạn nhân thực tế có thể cao hơn đáng kể do việc báo cáo chưa đầy đủ và phát hiện chậm trễ.
Các cuộc tấn công này, được công ty an ninh mạng Hà Lan Eye Security xác định lần đầu tiên vào tuần trước, đã khai thác các lỗ hổng nghiêm trọng trong các cài đặt SharePoint tại chỗ (on-premise). Điều này cho phép các tác nhân đe dọa chèn mã độc, đánh cắp dữ liệu nhạy cảm và thiết lập quyền truy cập bền bỉ mà không kích hoạt các cảnh báo ngay lập tức.
Không giống như các phiên bản được lưu trữ trên đám mây do Microsoft Azure quản lý, các máy chủ tự lưu trữ này thường thiếu cơ chế vá lỗi tự động. Điều này biến chúng thành mục tiêu chính cho các hoạt động khai thác zero-day nhằm thực hiện remote code execution (RCE) và leo thang đặc quyền (privilege escalation). Sự thiếu hụt các quy trình cập nhật tự động làm tăng đáng kể rủi ro đối với các hệ thống này.
Phạm Vi Ảnh Hưởng Rộng Lớn
Chiến dịch này trải rộng trên nhiều lĩnh vực, bao gồm các cơ quan chính phủ, tập đoàn đa quốc gia và các tổ chức giáo dục. Điều này làm nổi bật rủi ro liên quan đến việc triển khai tại chỗ lỗi thời trong kỷ nguyên của các mối đe dọa dai dẳng nâng cao (APTs) ngày càng tinh vi.
Phân tích của Eye Security cho thấy vector xâm nhập ban đầu liên quan đến việc truy cập không xác thực vào giao diện web của SharePoint, sau đó là di chuyển ngang (lateral movement) trong các mạng nội bộ. Điều này đã dẫn đến các cuộc lây nhiễm rộng rãi. Hoa Kỳ báo cáo mật độ vi phạm cao nhất, tiếp theo là các sự cố đáng chú ý ở Mauritius, Jordan, Nam Phi và Hà Lan.
Phân Tích Kỹ Thuật Lỗ Hổng và Mã Độc
Chuỗi Khai Thác và Kỹ Thuật Vượt Qua Xác Thực
Về mặt kỹ thuật, các khai thác dường như đã kết hợp nhiều lỗ hổng zero-day, có thể bao gồm các lỗ hổng tương đương CVE chưa được công khai. Điều này cho phép những kẻ tấn công bỏ qua các kiểm soát xác thực và triển khai các payload tùy chỉnh. Việc kết hợp nhiều lỗ hổng giúp tăng cường hiệu quả và khả năng lẩn tránh của cuộc tấn công mạng.
Đặc Điểm Mã Độc và Kỹ Thuật Trốn Tránh
Các biến thể mã độc được phát hiện có đặc điểm của thực thi không cần tệp (fileless execution), cư trú trong bộ nhớ để trốn tránh các chữ ký chống virus truyền thống. Chúng cũng tích hợp các kỹ thuật chống phân tích pháp y (anti-forensic) để che giấu thông tin liên lạc lệnh và kiểm soát (C2) với các máy chủ bên ngoài. Điều này khiến việc phát hiện và phản ứng trở nên khó khăn hơn.
Các Trường Hợp Bị Ảnh Hưởng Cụ Thể và Tác Động
Vụ Việc Tại Kho Bạc Quốc Gia Nam Phi
Kho bạc Quốc gia Nam Phi đã xác nhận một vụ lây nhiễm mã độc trong trang web Mô hình Báo cáo Cơ sở hạ tầng (IRM) của mình, một nền tảng dựa trên SharePoint được sử dụng để hợp tác và báo cáo dữ liệu tài chính. Vụ xâm nhập được phát hiện thông qua việc giám sát định kỳ của hệ thống phát hiện và phản hồi điểm cuối (EDR), tiết lộ các hành vi bất thường cho thấy một chuỗi khai thác thành công.
Mặc dù hệ thống bị xâm nhập, các quan chức Kho bạc cho biết không có sự gián đoạn hoạt động nào xảy ra. Điều này được cho là nhờ vào việc nhanh chóng cách ly hệ thống bị ảnh hưởng và hợp tác với Microsoft để phân tích pháp y và khắc phục.
Các Nạn Nhân Khác Tại Nam Phi
Eye Security, không tiết lộ danh tính cụ thể của các nạn nhân vì lý do quyền riêng tư, cho biết các mục tiêu ở Nam Phi bao gồm một thực thể sản xuất ô tô nổi bật, một đại học lớn, một số cơ quan chính quyền địa phương và một cơ quan liên bang, cùng với hai tổ chức không xác định khác. Theo báo cáo tại đây, các vụ vi phạm này đã được chia sẻ với Đội Ứng phó Sự cố An ninh Máy tính (CSIRT) của Nam Phi để tạo điều kiện cho các nỗ lực săn lùng mối đe dọa và giảm thiểu phối hợp.
Hậu Quả Rò Rỉ Dữ Liệu
Các cuộc tấn công đã khai thác các tính năng cộng tác của SharePoint, chẳng hạn như thư viện tài liệu và tự động hóa quy trình làm việc, để truyền bá mã độc theo chiều ngang. Điều này có thể dẫn đến các vụ rò rỉ dữ liệu liên quan đến tài sản trí tuệ nhạy cảm, hồ sơ tài chính và thông tin cá nhân. Ví dụ, trong ngành ô tô, các hệ thống bị xâm nhập có thể làm lộ dữ liệu chuỗi cung ứng, trong khi các tổ chức giáo dục đối mặt với nguy cơ rò rỉ hồ sơ sinh viên và cơ sở dữ liệu nghiên cứu.
Biện Pháp Giảm Thiểu và Phòng Chống Lỗ Hổng Zero-Day
Khuyến Nghị Từ Microsoft
Microsoft đã làm rõ rằng chỉ các máy chủ SharePoint tại chỗ mới bị ảnh hưởng, khuyến nghị áp dụng ngay lập tức các bản vá bảo mật và triển khai phân đoạn mạng (network segmentation) để giảm thiểu rủi ro. Điều này nhấn mạnh tầm quan trọng của việc duy trì các hệ thống được cập nhật và bảo vệ chúng bằng các rào cản mạng vật lý hoặc logic.
Chiến Lược Bảo Vệ Tổng Thể
Trong bối cảnh các cuộc điều tra vẫn đang tiếp diễn, các chuyên gia an ninh mạng cảnh báo về các chiến thuật phát triển, bao gồm việc sử dụng các kịch bản PowerShell bị xáo trộn (obfuscated PowerShell scripts) và các tệp nhị phân “sống dựa trên tài nguyên hệ thống” (LOLBins – living-off-the-land binaries) để duy trì sự bền bỉ. Với bề mặt tấn công ngày càng mở rộng, các tổ chức được khuyến khích áp dụng kiến trúc không tin cậy (zero-trust architectures) và quét lỗ hổng liên tục để chống lại các lỗ hổng zero-day một cách hiệu quả.
Sự cố này cũng làm nổi bật những lỗ hổng cố hữu trong các cấu hình SharePoint tại chỗ, nơi các tổ chức ưu tiên chủ quyền dữ liệu và các lớp bảo mật tùy chỉnh nhưng thường chậm trễ trong việc quản lý bản vá bảo mật cho các mối đe dọa zero-day vulnerability.
