Microsoft đang điều tra khả năng bị rò rỉ thông tin từ chương trình đối tác bảo mật MAPP, khiến các nhóm hacker có liên quan đến Trung Quốc khai thác lỗ hổng chưa được vá trên SharePoint.
Lỗ hổng này bắt nguồn từ việc một bản vá trước đó của Microsoft chưa xử lý triệt để, dẫn đến một chiến dịch tấn công mạng tinh vi toàn cầu, nghiêm trọng nhất nhắm vào hệ thống của chính Microsoft.
- Microsoft nghi ngờ xảy ra rò rỉ thông tin từ chương trình bảo mật MAPP cho các đối tác, tạo điều kiện cho hacker Trung Quốc khai thác lỗ hổng SharePoint.
- Lịch sử từng ghi nhận các rủi ro tương tự khi đối tác Trung Quốc vi phạm NDA hoặc bị buộc tiết lộ cho cơ quan quản lý theo pháp luật nội địa.
- Lỗ hổng an ninh này đã kích hoạt chiến dịch do thám mạng toàn cầu, nhấn mạnh tính cấp thiết của cải tiến quy trình bảo mật thông tin trước các mối đe dọa ngày càng tinh vi.
Vì sao Microsoft nghi ngờ rò rỉ từ chương trình MAPP đã tạo điều kiện cho hacker Trung Quốc?
Microsoft cho biết có dấu hiệu thông tin về lỗ hổng SharePoint, vốn chỉ chia sẻ cho các đối tác bảo mật trong chương trình MAPP, đã bị rò rỉ. Điều này giúp các nhóm hacker có thể chuẩn bị và triển khai tấn công trước khi bản vá được phát hành rộng rãi.
Sau sự cố, Microsoft tuyên bố: Chúng tôi luôn đánh giá lại hiệu quả và tính an toàn của mọi chương trình đối tác, đồng thời thực hiện những cải tiến cần thiết.
Đại diện Microsoft, Thông cáo báo chí, tháng 6/2024
MAPP (Microsoft Active Protections Program) được thiết kế để thông báo sớm cho các đối tác bảo mật về lỗ hổng trước khi công bố công khai, tăng khả năng phòng thủ toàn cầu. Tuy nhiên, khi thông tin này rơi vào tay kẻ xấu – đặc biệt là những nhóm hacker được nhà nước hậu thuẫn – hậu quả sẽ rất nghiêm trọng, như trường hợp này với SharePoint.
Đáng chú ý, các hoạt động khai thác lỗ hổng đầu tiên diễn ra đúng ngày nhóm đối tác nhận được cảnh báo từ MAPP, dấy lên nghi vấn rằng nguồn rò rỉ có thể xuất phát ngay từ mạng lưới đối tác này.
Lịch sử lỗ hổng SharePoint và vai trò của MAPP trong vụ việc này là gì?
Các chuyên gia bảo mật ghi nhận lỗ hổng SharePoint lần đầu do nhà nghiên cứu Việt Nam Đinh Hồ Anh Khoa trình diễn tại Pwn2Own Berlin hồi tháng 5/2024. Khoa được Trend Micro trao giải thưởng 100.000 USD, Microsoft phát hành bản vá ban đầu vào tháng 7, nhưng lỗi vẫn chưa được khắc phục triệt để.
Đáng tiếc là đối tác MAPP đã được cảnh báo qua 3 đợt (24/6, 3/7, 7/7), và những cuộc tấn công đầu tiên lại diễn ra ngay đúng ngày cuối cùng. Nhiều khả năng thông tin bị lạm dụng để chế tạo mã khai thác, rất khó để loại trừ yếu tố rủi ro từ đối tác.
Dustin Childs – Trưởng phòng cảnh báo mối đe dọa, Trend Micro, phát biểu với Reuters, 2024
Sau khi lỗ hổng được công bố và MAPP cảnh báo, các nhóm hacker có liên hệ với nhà nước Trung Quốc, như Linen Typhoon, Violet Typhoon và một nhóm khác, nhanh chóng triển khai khai thác lỗ hổng này trên diện rộng, biến vụ việc thành một chiến dịch tấn công mạng toàn cầu quy mô lớn.
Vấn đề nằm ở chỗ: quy trình cảnh báo sớm cho đối tác không có biện pháp kiểm soát chặt, nên nếu thông tin bị rò rỉ thì không chỉ khách hàng mà chính Microsoft cũng trở thành nạn nhân.
Những nhóm hacker nào tham gia tấn công, quy mô và mức độ tinh vi ra sao?
Ba nhóm hacker có liên hệ với nhà nước Trung Quốc: Linen Typhoon, Violet Typhoon và một nhóm thứ 3 không công bố tên, bị Microsoft cáo buộc trực tiếp khai thác lỗ hổng SharePoint. Đây là các tổ chức có kỹ năng cao, từng đứng sau nhiều vụ gián điệp mạng quy mô lớn.
Các nhóm hacker Trung Quốc thường sở hữu nguồn lực dồi dào, phối hợp chặt chẽ với cơ quan an ninh mạng quốc gia. Nếu có trong tay thông tin kỹ thuật chi tiết trước ngày vá công khai, mức độ nguy hiểm sẽ tăng lên rất nhiều lần.
Eugenio Benincasa – Nghiên cứu viên, ETH Zurich Center for Security Studies, 2024 (trích báo cáo Atlantic Council)
Theo thông tin từ báo cáo an ninh mạng toàn cầu (CrowdStrike Global Threat Report 2023), nhóm hacker APT tại Trung Quốc hiện đứng đầu về số lượng vụ tấn công khai thác zero-day vào hệ thống doanh nghiệp phương Tây và tổ chức hạ tầng thiết yếu.
Chiến dịch dựa vào khai thác lỗ hổng chưa vá cho phép kẻ tấn công thâm nhập sâu vào hệ sinh thái của Microsoft SharePoint, từ đó lây lan sang các hệ thống khác – đặc biệt nguy hiểm với tổ chức lớn, dịch vụ tài chính hoặc nhà nước.
Microsoft từng gặp sự cố rò rỉ thông tin MAPP trong lịch sử chưa?
Trước đây, Microsoft cũng từng xử lý sự cố vi phạm từ đối tác Trung Quốc liên quan MAPP. Năm 2013, công ty đã loại bỏ Hangzhou DPTech Technologies Co., Ltd. khỏi chương trình vì tiết lộ thông tin trái phép, khiến dữ liệu nhạy cảm có nguy cơ bị lạm dụng.
Rủi ro của chương trình MAPP là có thực, nhất là khi chia sẻ thông tin chi tiết về lỗ hổng cho đối tác quốc tế mà không kiểm soát tối ưu quy trình bảo mật và tuân thủ NDA.
Báo cáo SANS Institute, 2023
Năm 2021, Microsoft lại phát hiện hai đối tác Trung Quốc rò rỉ thông tin lỗ hổng Exchange, châm ngòi cho chiến dịch tấn công của nhóm Hafnium. Hậu quả: hàng chục nghìn máy chủ Exchange toàn cầu bị xâm nhập, bao gồm các tổ chức quan trọng như Cơ quan Ngân hàng Châu Âu, Quốc hội Na Uy.
| Năm | Sự cố | Hậu quả |
|---|---|---|
| 2013 | Loại đối tác DPTech (Trung Quốc) khỏi MAPP | Vi phạm NDA, tăng rủi ro cho kho dữ liệu toàn cầu |
| 2021 | Rò rỉ lỗ hổng Exchange | Hafnium tấn công toàn cầu, hàng chục nghìn server bị xâm nhập |
| 2024 | Rò rỉ lỗ hổng SharePoint | Chiến dịch gián điệp mạng diện rộng, nhiều hệ thống doanh nghiệp lớn bị ảnh hưởng |
Việc các đối tác bị buộc báo cáo lỗ hổng cho cơ quan chức năng theo pháp luật Trung Quốc cũng tạo thêm áp lực lên bảo mật thông tin của MAPP, tiềm ẩn nguy cơ lộ lọt cho hacker nội địa.
Luật pháp và môi trường báo cáo lỗ hổng tại Trung Quốc ảnh hưởng thế nào tới bảo mật toàn cầu?
Theo luật an ninh mạng mới Trung Quốc (có hiệu lực từ 2021), bất kỳ đơn vị hoặc cá nhân nào phát hiện lỗ hổng đều phải khai báo cho Bộ Công nghiệp & Công nghệ thông tin trong vòng 48 giờ. Điều này khó đảm bảo tính bảo mật khi phối hợp với bên ngoài như Microsoft.
Nhiều đối tác Trung Quốc của MAPP, như Beijing CyberKunlun, cùng lúc phải tham gia Cơ sở dữ liệu lỗ hổng quốc gia Trung Quốc (CNVD), vốn chịu sự quản lý của Bộ An ninh Quốc gia nước này. Như vậy các cá nhân, doanh nghiệp buộc phải song song tuân thủ hai hệ thống quy định – vừa bảo mật theo NDA với Microsoft, vừa báo cáo công khai cho cơ quan Trung Quốc.
Chuyên gia bảo mật chỉ ra thiếu minh bạch trong quá trình các công ty Trung Quốc xử lý xung đột giữa các yêu cầu bảo mật phương Tây với nghĩa vụ báo cáo nội địa. Đây là một rủi ro chủ đạo đe dọa an ninh mạng toàn cầu.
Vì sao những lỗ hổng chưa vá trở thành mục tiêu ưu tiên của nhóm hacker nhà nước?
Lỗ hổng chưa được vá (zero-day) là nguồn tài nguyên quý với hacker nhà nước. Nhóm tấn công có thể xâm nhập từ đầu, lẩn tránh các biện pháp phát hiện, và kiểm soát toàn bộ hệ thống mục tiêu trước cả khi doanh nghiệp nhận ra nguy cơ.
Thời gian tồn tại trung bình của một lỗ hổng “zero-day” trên hệ thống doanh nghiệp là gần 21 ngày. Trong khoảng đó, mọi hoạt động khai thác đều không bị giám sát – đặc biệt nguy hiểm khi đối tượng là cơ quan hoặc doanh nghiệp lớn.
Báo cáo Rapid7 Vulnerability Intelligence Report, 2023
Báo cáo CrowdStrike công bố năm 2023 cho biết số lượng vụ khai thác lỗ hổng zero-day trên toàn cầu tăng gần 100% trong ba năm gần nhất, với Trung Quốc dẫn đầu cả số vụ lẫn mức độ tinh vi. Khả năng phát hiện và vá lỗi nhanh đang là cuộc đua khốc liệt giữa các ông lớn công nghệ và nhóm hacker tổ chức có hậu thuẫn nhà nước.
Ví dụ: sự kiện Hafnium 2021 ảnh hưởng tới hơn 30.000 máy chủ Exchange toàn cầu chỉ trong hai tuần, trước khi Microsoft phát hành bản vá khẩn cấp.
Microsoft và cộng đồng bảo mật đã có động thái gì để ngăn rủi ro tương tự tái diễn?
Sau các vụ rò rỉ, Microsoft liên tục hoàn thiện chính sách MAPP: đánh giá lại quy trình lựa chọn đối tác, tăng cường giám sát tuân thủ NDA, bổ sung API giám sát hành vi sử dụng thông tin trong hệ sinh thái đối tác.
Chúng tôi đang khẩn trương xem xét khả năng điều chỉnh sâu rộng quy trình chia sẻ thông tin bảo mật, đặc biệt kiểm tra kỹ các đối tác tại khu vực quy định báo cáo lỗ hổng còn thiếu minh bạch.
Đại diện bộ phận An ninh mạng Microsoft, TechCrunch, 6/2024
Cộng đồng bảo mật quốc tế cũng tích cực vận động thiết lập quy định chặt chẽ hơn đối với các chương trình thông báo lỗ hổng quốc tế, đề xuất kiểm soát nghiêm ngặt dữ liệu nhạy cảm khi chia sẻ xuyên biên giới hoặc tại các khu vực có quy định tương phản như Trung Quốc.
Bên cạnh đó, các tập đoàn lớn như Google, Apple đang nghiên cứu giải pháp an toàn hơn – như hạn chế phạm vi chia sẻ thông tin kỹ thuật lỗ hổng, chỉ cung cấp khi đối tác chứng minh đủ năng lực bảo vệ cũng như không bị chi phối bởi luật pháp địa phương bắt buộc tiết lộ sang bên thứ 3 không kiểm soát được.
Giải pháp nào có thể giảm thiểu rủi ro rò rỉ dữ liệu lỗ hổng bảo mật quốc tế?
Các chuyên gia an ninh mạng đề xuất siết chặt các tiêu chuẩn tham gia chương trình MAPP, loại bỏ những đối tác có nguy cơ cao về báo cáo kép hoặc không minh bạch về hoạt động. Kiểm soát chặt đường truyền, mã hóa dữ liệu, kiểm tra lịch sử vi phạm NDA và yêu cầu lưu vết hành vi sử dụng thông tin là những biện pháp khả thi.
Việc kiểm soát, giám sát chéo hành vi truy cập, sử dụng dữ liệu lỗ hổng giúp tăng khả năng truy nguyên nguồn rò rỉ, giảm nguy cơ lạm dụng. Các doanh nghiệp nước ngoài cần chủ động phối hợp với cơ quan quản lý khu vực để xây dựng hệ thống báo cáo minh bạch.
Báo cáo Atlantic Council, 2023
Đồng thời, vận động các tổ chức toàn cầu thiết lập GDPR về lỗ hổng bảo mật, có chế tài xử phạt với cá nhân/doanh nghiệp vi phạm cam kết bảo mật, đi kèm tài liệu hỗ trợ truy vết số lần truy cập và sử dụng dữ liệu lỗ hổng trong suốt vòng đời cảnh báo.
Việc xây dựng môi trường hợp tác tin cậy giữa các đơn vị bảo mật quốc tế và siết chặt quy trình NDA là yếu tố then chốt, giúp giảm thiểu tấn công mạng quy mô lớn xuất phát từ lỗ hổng “zero-day”.
Những tác động lâu dài đối với Microsoft và ngành an ninh mạng toàn cầu là gì?
Vụ rò rỉ này một lần nữa đặt ra thách thức cho Microsoft và tất cả các tập đoàn lớn: Làm sao cân bằng giữa nhu cầu chia sẻ thông tin sớm cho hệ sinh thái bảo mật với nguy cơ bị lộ cho đối tượng xấu.
Những trường hợp khai thác thành Công lỗ hổng qua kênh chia sẻ đối tác như Hafnium, Linen Typhoon, Violet Typhoon cho thấy bất kỳ sự thiếu sót nào đều có thể gây ra chiến dịch tấn công hàng loạt, ảnh hưởng hệ thống ngân hàng, tài chính, cơ quan nhà nước, và các doanh nghiệp trên toàn cầu.
Ngoài ra, mất niềm tin vào quy trình bảo mật MAPP sẽ kéo theo nguy cơ tạo lỗ hổng lâu dài trong chuỗi cung ứng an ninh mạng toàn cầu, khi các bên cẩn trọng hơn trong hợp tác, từ đó làm giảm tốc độ phát hiện và phản ứng trước các đe dọa mới phát sinh.
Những câu hỏi thường gặp về vụ rò rỉ thông tin bảo mật MAPP của Microsoft
Lỗ hổng SharePoint lần này có ảnh hưởng tới cá nhân sử dụng dịch vụ không?
Các lỗ hổng này chủ yếu ảnh hưởng đến doanh nghiệp, tổ chức có triển khai server SharePoint nội bộ, chứ không tác động trực tiếp đến tài khoản người dùng cá nhân.
Ai là người phát hiện lỗ hổng SharePoint ban đầu?
Nhà nghiên cứu bảo mật Việt Nam Đinh Hồ Anh Khoa đã trình diễn khai thác lỗ hổng tại Pwn2Own Berlin 2024, được Trend Micro trao 100.000 USD.
Microsoft đã từng dừng hợp tác với đối tác Trung Quốc nào chưa?
Năm 2013, Microsoft loại DPTech khỏi chương trình MAPP vì vi phạm NDA, là trường hợp điển hình về hậu quả khi dữ liệu bị lạm dụng.
Luật an ninh mạng mới của Trung Quốc ảnh hưởng gì tới hợp tác an ninh toàn cầu?
Theo luật năm 2021, các công ty phải báo cáo lỗ hổng trong 48 giờ cho cơ quan nhà nước, làm tăng nguy cơ thông tin bị nhiều đối tượng tiếp cận ngoài kiểm soát của công ty nước ngoài.
Làm sao để các tập đoàn lớn giảm thiểu rủi ro rò rỉ bảo mật khi hợp tác quốc tế?
Bằng cách tăng tiêu chuẩn đánh giá đối tác, siết chặt NDA, áp dụng biện pháp kỹ thuật kiểm soát lưu vết truy cập dữ liệu và chỉ chia sẻ nội dung tối quan trọng.
Sự kiện này ảnh hưởng thế nào tới quá trình vá lỗ hổng bảo mật của toàn ngành?
Sự kiện làm mọi quy trình vá lỗi bảo mật phải cân nhắc kỹ giữa tốc độ phản ứng và mức độ kiểm soát dữ liệu khi chia sẻ sớm cho hệ sinh thái quốc tế.
Làm thế nào để nhận biết doanh nghiệp mình đang bị tấn công qua lỗ hổng tương tự?
Bạn cần kiểm tra thường xuyên nhật ký truy cập hệ thống, cập nhật đầy đủ bản vá, kiểm tra các hoạt động bất thường trên server SharePoint hoặc liên hệ chuyên gia phân tích bảo mật.
