Một bản vá bảo mật mà Microsoft phát hành trong tháng này đã không khắc phục triệt để một lỗ hổng nghiêm trọng trong phần mềm máy chủ SharePoint, qua đó tạo điều kiện cho một chiến dịch gián điệp mạng quy mô lớn trên toàn cầu.

Trong bài đăng blog hồi đầu tuần trước, Microsoft cho biết hai nhóm tin tặc bị nghi là có liên hệ với Trung Quốc – được đặt tên là Linen Typhoon và Violet Typhoon - đang khai thác các điểm yếu nói trên, cùng với một nhóm thứ ba cũng có trụ sở tại Trung Quốc.

Theo Bloomberg, Microsoft đang xem xét liệu có phải một rò rỉ từ chương trình Microsoft Active Protections Program (MAPP) đã dẫn đến việc các lỗ hổng trong SharePoint bị khai thác trên phạm vi toàn cầu trong vài ngày qua.

Microsoft cho biết trong một tuyên bố gửi tới Reuters rằng công ty luôn đánh giá hiệu quả và tính bảo mật của tất cả các chương trình đối tác và sẽ cải thiện khi cần thiết.

Một nhà nghiên cứu thuộc công ty an ninh mạng Viettel của Việt Nam - Đinh Hồ Anh Khoa - đã trình diễn lỗ hổng SharePoint này vào tháng 5 tại hội nghị bảo mật Pwn2Own ở Berlin. Hội nghị do công ty an ninh mạng Trend Micro tổ chức, thuộc chương trình Zero Day Initiative, nhằm khuyến khích các nhà nghiên cứu tiết lộ có trách nhiệm các lỗ hổng phần mềm.

Anh Khoa đã nhận được phần thưởng 100.000 USD và Microsoft phát hành bản vá đầu tiên cho lỗ hổng vào tháng 7. Tuy nhiên, theo ông Dustin Childs – trưởng bộ phận nhận thức mối đe dọa của chương trình Zero Day Initiative - các thành viên của MAPP đã được thông báo về lỗ hổng này vào các ngày 24/6, 3/7 và 7/7.

Microsoft cho biết họ ghi nhận những nỗ lực khai thác đầu tiên vào ngày 7/7.

Ông Childs nói với Reuters rằng “kịch bản có khả năng cao nhất là ai đó trong chương trình MAPP đã sử dụng thông tin đó để tạo ra mã khai thác (exploit)”.

Hiện chưa rõ bên nào chịu trách nhiệm, nhưng ông Childs cho biết: “Vì phần lớn các nỗ lực tấn công xuất phát từ Trung Quốc, nên có lý do để suy đoán rằng đó là một công ty trong khu vực này.”

Đây không phải là lần đầu tiên MAPP bị rò rỉ dẫn đến sự cố bảo mật. Hơn một thập kỷ trước, Microsoft từng cáo buộc công ty Trung Quốc Hangzhou DPTech Technologies Co., Ltd. vi phạm thỏa thuận không tiết lộ thông tin (NDA) và đã loại công ty này khỏi chương trình.

Trong một bài đăng blog năm 2012 - thời điểm xảy ra rò rỉ đầu tiên - Microsoft thừa nhận: “Chúng tôi hiểu rằng thông tin về lỗ hổng có thể bị lạm dụng. Để hạn chế điều này, chúng tôi có các thỏa thuận bảo mật nghiêm ngặt với các đối tác. Microsoft coi việc vi phạm NDA là vấn đề rất nghiêm trọng.”

Nếu xác nhận có rò rỉ từ MAPP, đây sẽ là đòn giáng mạnh vào chương trình này – vốn được thiết kế để giúp các nhà phòng thủ mạng đi trước các tin tặc trong cuộc chạy đua khai thác các bản cập nhật phần mềm của Microsoft.

Ra mắt từ năm 2008, MAPP nhằm cung cấp cho các công ty bảo mật đáng tin cậy một lợi thế so với tin tặc, bằng cách chia sẻ thông tin kỹ thuật chi tiết và trong một số trường hợp là phần mềm “mô phỏng” hoạt động của mã độc.

Nguyễn Yến (theo Reuters)