Cộng đồng an ninh mạng đang phải đối mặt với một lỗ hổng nghiêm trọng trong phần mềm SharePoint của Microsoft, được xác định là một lỗ hổng zero-day và đặt tên là ‘ToolShell’. Lỗ hổng này là một điểm yếu có thể bị khai thác bởi tin tặc, từ đó cho phép chúng thực hiện các cuộc tấn công vào hệ thống của nhiều cơ quan chính phủ và doanh nghiệp đang sử dụng phần mềm này để chia sẻ tài liệu nội bộ.
Ông Adam Meyers, Phó Chủ tịch cấp cao của công ty an ninh mạng CrowdStrike, đã đưa ra cảnh báo rằng bất kỳ tổ chức nào sở hữu máy chủ SharePoint được lưu trữ bên ngoài đều có nguy cơ bị ảnh hưởng. Lỗ hổng này không chỉ là một vấn đề thông thường mà nó thực sự nghiêm trọng và có khả năng gây ra những hậu quả lớn nếu bị khai thác.
Lỗ hổng ToolShell trong SharePoint không chỉ dừng lại ở việc cho phép tin tặc truy cập vào hệ thống tệp SharePoint, mà còn có thể mở rộng khả năng tiếp cận các dịch vụ được kết nối khác như Teams và OneDrive. Điều này đồng nghĩa với việc các tổ chức có máy chủ SharePoint cài đặt tại chỗ sẽ phải đối mặt với rủi ro cao hơn. Mới đây, bộ phận Phân tích mối đe dọa an ninh mạng của Google cũng đã lên tiếng cảnh báo về khả năng lỗ hổng này có thể giúp tin tặc vượt qua các bản vá trong tương lai.
Về phía Microsoft, công ty đã xác nhận rằng dịch vụ SharePoint Online dựa trên đám mây của họ không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, ông Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Phân tích mối đe dọa an ninh mạng của Đơn vị Nghiên cứu bảo mật Unit42 tại Palo Alto Networks, cảnh báo rằng vẫn có nhiều tổ chức và cá nhân đang ở trong tầm ngắm của tin tặc do lỗ hổng này gây ra.
Các chuyên gia an ninh mạng quốc tế đã phát hiện ra một cuộc tấn công có quy mô lớn liên quan đến lỗ hổng này, với khoảng 100 tổ chức khác nhau bị xâm nhập, bao gồm cả doanh nghiệp và cơ quan chính phủ. Phần lớn các tổ chức bị ảnh hưởng tập trung ở Mỹ và Đức, trong đó có cả các tổ chức chính phủ. Ngoài ra, Trung tâm An ninh mạng quốc gia Anh cũng xác nhận đã nắm được thông tin về một số lượng hạn chế các mục tiêu ở nước này.
Trước tình hình này, Cơ quan Quản lý An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ đã đưa ra khuyến nghị rằng bất kỳ máy chủ nào bị ảnh hưởng bởi lỗ hổng này cần phải ngắt kết nối với internet cho đến khi chúng được vá bảo mật. Điều này nhằm giảm thiểu rủi ro và ngăn chặn các cuộc tấn công có thể xảy ra.
Xem thêm thông tin tại: CrowdStrike
