Microsoft SharePoint bị hack, ảnh hưởng đến Mỹ, chính quyền bang và doanh nghiệp trên toàn thế giới

Ý kiến trên Hacker News

• CISA khuyến cáo các tổ chức có lỗ hổng bảo mật nên tách sản phẩm đó khỏi Internet cho đến khi có bản vá chính thức, nhưng điều khiến tôi thấy thú vị là vẫn có những tổ chức tự host SharePoint on-premises và còn để lộ ra Internet, tôi vốn tưởng phần lớn các nơi như vậy sẽ bắt buộc dùng VPN

  • Tôi thấy tiếc khi CISA dường như đã đánh mất những nhân sự thực chất hơn trước và trở thành một tổ chức coi trọng sự tuân phục chính trị, có chia sẻ một trường hợp gần đây Arizona bị hacker Iran tấn công nhưng không yêu cầu hỗ trợ qua bài viết này; các tổ chức như CISA, nơi điều tra các cuộc tấn công trên diện rộng, thật sự rất quan trọng, và tôi lo ngại rằng hiện nay họ đang bị chi phối bởi các tiêu chí chính trị liên kết Techdirt

  • Best practice là giả định mạng đã bị xâm phạm sẵn, VPN cũng không đảm bảo an ninh hoàn hảo, tổ chức càng lớn càng dễ làm mất thiết bị hoặc khó quản lý, nên cách tiếp cận “zero trust” và khả năng truy cập từ mọi nơi là rất quan trọng, các tổ chức muốn vừa kiểm soát dữ liệu vừa giữ được sự linh hoạt trong công việc

  • SharePoint ban đầu cũng được quảng bá mạnh để vận hành website công khai, trước thời kỳ chuyển dịch lên cloud, nhân viên bán hàng Microsoft còn đến văn phòng và quảng bá rằng SharePoint mới nhất sẽ khiến Wordpress biến mất, vì quán tính đó nên vẫn còn nhiều tổ chức mắc kẹt trong cách làm cũ

  • Việc vận hành các dịch vụ nội bộ như SharePoint, Exchange phía sau một pre-auth reverse proxy cũng không phải là hiếm

  • Trước đây Microsoft từng marketing SharePoint rất nhiều cho mục đích intranet nên nhiều cơ quan đã triển khai, và do SharePoint 2019 sắp hết vòng đời hỗ trợ nên có nhiều tổ chức đang vội vàng xây dựng hệ thống thay thế

• Tôi tò mò vì sao Principal Engineer Copilot lại không ngăn được kiểu lỗ hổng này

  • Có thể lỗ hổng đã tồn tại từ trước khi Copilot có được chức danh đó, thậm chí có thể là vấn đề được đưa vào từ thời thực tập sinh

  • Hacker, khách hàng, nhân viên, quản trị viên... đều na ná nhau cả, họ bị hack hết lần này đến lần khác bởi Trung Quốc, khách hàng của chính họ, và cả các quản trị viên hay nhân viên đặt tại Trung Quốc nữa, tôi nghĩ cả công ty đã bị xâm nhập rồi, và còn bày tỏ sự mất niềm tin rằng PE copilot có khi lại đang giúp phía tấn công

  • Hacker cũng có thể dùng Copilot, nên rốt cuộc một bên nào đó kiểu gì cũng sẽ thắng thôi(?)

• Tôi đã dành quá nhiều thời gian cho SharePoint, và cảm thấy việc phơi nó ra Internet chưa bao giờ là lựa chọn tốt, có vẻ từ một phiên bản nào đó họ cũng quảng bá nó như web server công khai, nhưng ngược lại tôi lại cài mọi instance theo kiểu tách biệt trên mạng

  • Đầu những năm 2010, Microsoft từng tích cực marketing SharePoint như một giải pháp cho site Internet, tôi cũng từng thấy trường hợp các hãng xe châu Âu như BMW hay Ferrari dùng nó cho các site marketing toàn cầu, nhưng giá quá đắt, kiểu 40.000 USD mỗi site, nên không kéo dài được lâu

  • Vài năm trước tôi có dùng SharePoint một thời gian ngắn, khi đó tôi nghĩ public web hosting mới là mục đích gốc của SharePoint

• Tôi thường nghe đùa giữa các nhân viên Lầu Năm Góc rằng “nếu muốn đánh sập quân đội Mỹ thì chỉ cần loại bỏ SharePoint”, đây là trò đùa lúc nào cũng xuất hiện trong các bài phát biểu trong quân đội

  • Đã có một thời trong tổ chức tôi dùng SharePoint rất nhiều

• Feed cảnh báo bảo mật thời gian thực của tôi bắt được tin này còn sớm hơn cả báo chí lớn feed ZeroDayPublishing

  • Không biết họ có cung cấp RSS feed không

• Tôi nghĩ trong mảng doanh nghiệp on-premises thì nên có nhiều Red Hat hơn là Microsoft, đặc biệt với các khách hàng quan trọng như DoD thì những lỗ hổng như thế này là không thể chấp nhận được, trong khi nhiều người nói không thể đột nhập Google thì các cơ quan chính phủ lại hay dùng những giải pháp on-premises yếu như SharePoint, tôi thắc mắc vì sao họ không chuyển sang hệ Linux rẻ hơn và phổ biến hơn, chẳng phải bảo mật mới thực sự là ưu tiên số một sao

  • Tôi cho rằng vì Microsoft rất giỏi vượt qua đủ loại quy định và quy trình quan liêu mà cơ quan nhà nước yêu cầu, còn phía Linux thì tôi không biết nơi nào làm tốt đến mức đó

• Tôi tò mò không biết Microsoft có thực sự từng để nhân viên sống tại Trung Quốc quản lý máy chủ của Bộ Quốc phòng Mỹ hay không, chắc trong DoD cũng dùng SharePoint

  • Có một phiên bản M365 riêng cho DoD (bao gồm cả SPO), nhưng chuyện đó không liên quan đến bài báo này

  • Liên kết bài liên quan bài Reuters

  • Trích nội dung bài báo: “Các lỗi lập trình trong dịch vụ đám mây đã khiến hacker có liên hệ với Trung Quốc có thể đánh cắp email của chính phủ liên bang, và ProPublica phát hiện rằng cho đến gần đây Microsoft vẫn bố trí nhân lực Trung Quốc làm hỗ trợ cho chương trình đám mây của Bộ Quốc phòng Mỹ, khiến Bộ trưởng Quốc phòng ra lệnh rà soát toàn diện”

• Tôi thấy ấn tượng ở chỗ hậu quả của việc cắt giảm mạnh ngân sách CISA là lực lượng ứng phó khủng hoảng cũng giảm tới 65%, khiến việc xử lý sự cố mất nhiều thời gian hơn hẳn

  • Tôi không biết điều gì khiến mình bực hơn: việc quá nhiều nhân sự chuyên môn mất việc, hay việc sau khi cắt giảm như vậy mà rốt cuộc gần như chẳng tìm ra được bao nhiêu lãng phí thật sự, đúng là quá vô lý

• Có thể hơi gây khó chịu, nhưng một phần tôi cũng mong mấy chuyện như thế này xảy ra nhiều hơn để các công ty ngừng dùng SharePoint, tôi không dùng nó từ năm 2017 nhưng mỗi lần dùng đều thấy cực kỳ tệ, tôi còn từng mặc áo có dòng chữ “SharepoIT Happens”, đồng nghiệp trong công ty tôi cũng đều đồng ý là ai cũng ghét SharePoint

  • Chừng nào còn dùng M365 thì gần như không thể ngừng dùng SharePoint, ví dụ khi tạo team trong Teams thì sẽ tự động sinh ra một M365 group, và mỗi group như vậy lại có một site SharePoint cùng một mailbox Exchange, file trong channel cũng được lưu trên SharePoint, tin nhắn thì lưu trong Exchange, file cá nhân thì lưu trong OneDrive (= SharePoint), tức là thực chất cả M365 được xây trên SharePoint và Exchange

  • Trước đây tôi từng ở một công ty cố triển khai hệ thống DRM tự động dựa trên SharePoint của Microsoft, tài liệu được upload lên thì SharePoint sẽ tự gắn DRM, khi người dùng tải xuống thì file chỉ mở được trên thiết bị được chỉ định, nhưng tùy cách đăng nhập mà vẫn có thể nhận file không gắn DRM, và ngay cả consultant của Microsoft cuối cùng cũng không giải quyết được

  • Công ty tôi có cả SharePoint lẫn một site tài liệu/ghi chú nội bộ riêng kiểu Notion/Quip/Confluence, và đa số lập trình viên dùng cái sau, nhưng một số nhân viên chỉ tải file Word lên nên cuối cùng mọi người vẫn buộc phải dùng SharePoint và phải đi tìm tài liệu ở hai nơi

  • Sếp tôi bắt tôi tiếp tục thiết lập SharePoint suốt hơn một năm, nhưng sau 6 tháng tìm hiểu nghiêm túc thì tôi thấy nó chẳng có gì đặc biệt, cuối cùng sếp tuyển một kỹ thuật viên khác để cài trong một ngày nhưng chẳng ai dùng, thứ còn sót lại duy nhất là việc chiếc USB tốc độ cao của tôi bị đánh cắp

  • Với một công ty cỡ vừa làm việc cùng cơ quan chính phủ, dù có giải pháp tốt hơn thì cũng gần như không được dùng, vì yêu cầu an ninh mạng quá nhiều nên SharePoint trở thành lựa chọn “duy nhất khả thi về mặt thương mại”, dù SharePoint rất bất tiện thì giải pháp thay thế vẫn bị xem là “rủi ro”, có vô số than phiền lớn nhỏ như không cuộn được danh sách file, tính năng tự động hóa có vấn đề, đăng nhập giữa các tenant M365 bị lỗi, URL khó đọc, tìm kiếm kém, bảng/bộ lọc hay lỗi, giao diện thiết lập quyền bị giấu kỹ... đây không phải những vấn đề mà người ta nên phải đi Google để sửa

• Nếu tôi là thành viên hội đồng quản trị của một công ty, tôi sẽ không bao giờ dễ dàng tin CTO hay nhà sáng lập nào tự nguyện đề xuất dùng giải pháp của Microsoft, mỗi lần bấm vào link Microsoft Office trong Teams là sự mất niềm tin của tôi với Microsoft lại tăng thêm, nên dù SharePoint có lỗ hổng thì tôi cũng hoàn toàn không ngạc nhiên