Trong một diễn biến mới, tập đoàn công nghệ hàng đầu thế giới Microsoft vừa công bố quyết định ngừng sử dụng các kỹ sư người Trung Quốc trong các dự án công nghệ liên quan trực tiếp đến quân đội Mỹ. Thông tin này được tiết lộ sau khi một báo cáo điều tra chuyên sâu đã làm nổi lên những quan ngại nghiêm trọng về rủi ro an ninh mạng, đồng thời khiến Bộ trưởng Quốc phòng Mỹ, ông Pete Hegseth, phải tiến hành một cuộc rà soát toàn diện và chi tiết các hợp đồng điện toán đám mây của Lầu Năm Góc.

Trước đó, theo một báo cáo của Hãng tin ProPublica, Microsoft đã cho phép các kỹ sư tại Trung Quốc tham gia vào các dự án điện toán đám mây của quân đội Mỹ. Trong mô hình làm việc này, các kỹ sư Trung Quốc được giám sát bởi các ‘hộ tống kỹ thuật số’ – những người Mỹ có nhiệm vụ đảm bảo công việc của họ không gây ra nguy cơ an ninh mạng. Tuy nhiên, điểm đáng chú ý là những người giám sát này thường thiếu chuyên môn kỹ thuật cần thiết để đánh giá một cách toàn diện và chính xác liệu công việc của các kỹ sư Trung Quốc có thực sự đảm bảo an toàn hay không.

Trước những phản ứng và chỉ trích từ công luận cũng như các cơ quan chức năng, Microsoft đã có động thái nhanh chóng. Công ty này đã thay đổi chính sách của mình để đảm bảo rằng không còn nhóm kỹ sư nào tại Trung Quốc cung cấp hỗ trợ kỹ thuật cho các dịch vụ sử dụng trong quân đội. Quyết định này được đưa ra nhằm ngăn chặn bất kỳ rủi ro tiềm ẩn nào về an ninh mạng và củng cố niềm tin của khách hàng cũng như các cơ quan đối tác.

Việc Microsoft ngừng sử dụng kỹ sư người Trung Quốc trong các dự án công nghệ liên quan đến quân đội Mỹ cũng thu hút sự quan tâm của các nhà lập pháp. Thượng nghị sĩ Cộng hòa Tom Cotton, chủ tịch Ủy ban Tình báo Thượng viện, đã gửi thư yêu cầu Bộ Quốc phòng Mỹ cung cấp thông tin rõ ràng và minh bạch về sự tham gia của nhân sự Trung Quốc trong các hợp đồng quốc phòng. Điều này không chỉ phản ánh mối quan ngại về an ninh mạng mà còn thể hiện sự cảnh giác trong việc hợp tác với các đối tác đến từ Trung Quốc.

Song song với đó, Bộ trưởng Quốc phòng Mỹ Pete Hegseth cũng đã tuyên bố tiến hành một cuộc rà soát toàn diện. Mục tiêu của cuộc rà soát này là xác minh liệu còn kỹ sư nào tại Trung Quốc đang làm việc trong các dự án công nghệ khác của Bộ Quốc phòng hay không. Cuộc rà soát này sẽ giúp đánh giá lại toàn bộ quy trình hợp tác và đảm bảo rằng mọi biện pháp cần thiết được thực hiện để bảo vệ an ninh quốc gia.

Nhìn chung, quyết định của Microsoft cùng với các động thái của Bộ Quốc phòng và các nhà lập pháp Mỹ thể hiện một nỗ lực tích cực trong việc bảo vệ an ninh mạng và duy trì sự tin cậy trong các mối hợp tác quốc phòng. Tuy nhiên, diễn biến này cũng cho thấy sự phức tạp trong việc hợp tác công nghệ giữa các quốc gia và những thách thức trong việc quản lý rủi ro an ninh mạng trong kỉ nguyên công nghệ.

Ngày 7/7/2025, Microsoft vừa phát đi cảnh báo bảo mật khẩn cấp về một chiến dịch tấn công mạng có chủ đích và đang diễn ra, nhắm vào hệ thống SharePoint Server on-premises. Chiến dịch này được cho là do ba nhóm tin tặc có nguồn gốc từ Trung Quốc thực hiện, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các nhóm tấn công mạng này đã khai thác một chuỗi các lỗ hổng bảo mật nghiêm trọng để vượt qua xác thực, thực thi mã từ xa và cuối cùng là chiếm quyền kiểm soát hệ thống nội bộ của các tổ chức.

Một trong những điểm đáng chú ý của chiến dịch tấn công này là việc các nhóm tin tặc đã nhắm vào các tổ chức quan trọng. Ngày 18/7/2025, Microsoft xác nhận rằng Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ, là một trong những nạn nhân của vụ tấn công. Mặc dù chỉ một số hệ thống bị ảnh hưởng và chưa có bằng chứng về việc rò rỉ dữ liệu mật, vụ việc này vẫn cho thấy quy mô và mức độ tinh vi của làn sóng tấn công.

Theo Microsoft, có bốn lỗ hổng bảo mật chính được khai thác trong đợt tấn công này, bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ. Nhằm bảo vệ hệ thống trước làn sóng tấn công này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng.

Ngoài ra, Microsoft cũng khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ để tăng cường bảo mật cho hệ thống. Các biện pháp này bao gồm kích hoạt AMSI ở chế độ Full Mode để phát hiện và ngăn chặn các cuộc tấn công nâng cao, trang bị Microsoft Defender Antivirus để bảo vệ hệ thống trước các mối đe dọa, xoay vòng khóa xác thực ASP.NET để giảm thiểu nguy cơ bị xâm nhập và khởi động lại dịch vụ IIS để áp dụng các thay đổi bảo mật.

CISA (Cơ quan Quản lý An ninh mạng và An toàn Thông tin Hoa Kỳ) đã thêm CVE-2025-53771 vào danh sách cần khắc phục khẩn cấp vào ngày 22/7/2025, với hạn chót thực hiện chỉ sau đó một ngày. Các chuyên gia an ninh mạng cũng cảnh báo rằng sự kết hợp giữa khả năng vượt qua xác thực và thực thi mã từ xa là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu, một loại hình tấn công mạng ngày càng phổ biến và nguy hiểm.

Do đó, việc cập nhật bản vá không còn là một lựa chọn mà đã trở thành một hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào. Các tổ chức và doanh nghiệp cần ưu tiên áp dụng các bản vá bảo mật và triển khai các biện pháp phòng thủ cần thiết để bảo vệ hệ thống và dữ liệu của mình trước làn sóng tấn công này.

Ngày 21/7, Microsoft đã phát hành một bản cập nhật khẩn cấp nhằm khắc phục hai lỗ hổng bảo mật nghiêm trọng trên nền tảng SharePoint, được đánh mã hiệu CVE-2025-53770 và CVE-2025-53771. Đây là các lỗ hổng cho phép thực thi mã từ xa (RCE) – một trong những dạng tấn công nguy hiểm nhất – mà không cần xác thực trên các máy chủ SharePoint.

Hai lỗ hổng này đã được phát hiện trong cuộc thi tấn công mạng Pwn2Own tại Berlin hồi tháng 5. Các đội thi đã khai thác thành công chuỗi lỗ hổng ToolShell để kiểm soát hệ thống SharePoint. Mặc dù Microsoft đã phát hành bản vá sơ bộ trong đợt cập nhật tháng 7, nhưng tin tặc nhanh chóng tìm ra cách vượt qua các lớp bảo vệ này và tiếp tục tấn công hệ thống.

Theo ước tính của công ty an ninh mạng Censys, hiện có hơn 10.000 máy chủ SharePoint trên toàn cầu đang có nguy cơ bị xâm nhập, tập trung chủ yếu tại Mỹ, Hà Lan, Anh và Canada. Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) cảnh báo rằng các lỗ hổng này cho phép tin tặc truy cập hệ thống tệp, đọc cấu hình nội bộ và cài đặt mã độc từ xa mà không cần tài khoản đăng nhập.

Nhóm chuyên gia của Google Threat Intelligence mô tả đây là ‘truy cập không cần xác thực một cách liên tục’, trong khi Palo Alto Networks gọi đây là ‘mối đe dọa thực sự và hiện hữu’. Các chiến dịch tấn công hiện tại đang sử dụng các tệp độc hại như spinstall0.aspx và tấn công trực tiếp vào thư mục _layouts – đặc điểm thường thấy trong các đợt tấn công APT có chủ đích và quy mô lớn.

Microsoft đã cung cấp hướng dẫn khắc phục cụ thể cho từng phiên bản hệ thống SharePoint, bao gồm SharePoint Server 2019, SharePoint Server 2016 và SharePoint Subscription Edition. Quản trị viên cần cập nhật khóa máy, khởi động lại dịch vụ IIS trên tất cả máy chủ SharePoint và kiểm tra log hệ thống và nhật ký IIS để phát hiện truy cập trái phép.

Một số dấu hiệu cần lưu ý bao gồm xuất hiện tệp lạ tại đường dẫn C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions16TEMPLATELAYOUTSspinstall0.aspx và log IIS hiển thị các truy cập bất thường. Microsoft cũng cung cấp công cụ truy vấn trong Microsoft 365 Defender giúp phát hiện nhanh các mối đe dọa tiềm tàng liên quan đến ToolShell.

Để bảo vệ hệ thống SharePoint của mình, người dùng có thể tham khảo thêm thông tin về các bản vá bảo mật trên trang web của Microsoft và thực hiện các biện pháp phòng ngừa cần thiết để ngăn chặn các cuộc tấn công mạng.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, trong đó Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Theo thông tin được công bố, mặc dù hệ thống của NSA đã bị xâm nhập, nhưng may mắn là không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này nằm trong chiến dịch có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Chiến dịch này không chỉ nhắm vào Mỹ mà còn mở rộng ra nhiều nước châu Âu, trong đó có Đức. Các tổ chức thuộc nhiều lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế, sử dụng SharePoint làm mục tiêu chính của các cuộc tấn công.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Điều này khiến cho việc phát hiện và ngăn chặn các cuộc tấn công trở nên khó khăn hơn bao giờ hết.

Trước những mối đe dọa này, các chuyên gia bảo mật khuyến cáo người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng. Việc cập nhật thường xuyên phần mềm, sử dụng các công cụ bảo mật hiện đại và đào tạo nhân viên về các phương thức tấn công mạng phổ biến là những bước đi quan trọng để bảo vệ thông tin.

Như đã được biết, các tổ chức và cá nhân cần phải chú ý đến các lỗ hổng bảo mật và khẩn trương thực hiện các biện pháp phòng ngừa. Đồng thời, việc chia sẻ thông tin và kinh nghiệm trong việc đối phó với các cuộc tấn công mạng cũng đóng vai trò quan trọng trong việc nâng cao năng lực bảo vệ thông tin trên toàn cầu.