据知情人士透露,微软公司正在调查其网络安全公司早期预警系统是否存在泄露,导致中国黑客得以在 SharePoint 服务漏洞修复之前利用这些漏洞进行攻击。
据知情人士透露,该技术机构正在调查,这种方法(旨在让网络安全顾问有机会在新的安全问题暴露之前恢复计算机程序)是否导致其 SharePoint 软件程序中的漏洞在过去几天内在全球范围内被广泛利用。这些知情人士要求匿名,因为他们不愿透露个人信息。
微软发言人在一份新闻稿中表示:“作为我们惯例流程的一部分,我们将审查此次事件,找出需要加强的方面,并广泛应用这些改进措施。”他还指出,联盟计划是公司安全应对措施的重要组成部分。
中国驻华盛顿大使馆就外交部发言人郭家坤本周早些时候向媒体发表的反对网络攻击的言论作出回应。郭家坤表示:“网络安全是各国面临的共同挑战,需要通过对话与合作共同应对。中国依法反对和打击网络攻击,同时反对以网络安全为借口对中国进行抹黑和攻击。”
微软已将SharePoint安全漏洞归咎于来自中国政府支持的黑客。据微软官网显示,至少有十几家中国公司参与了名为“微软主动防护计划”(MAPP)的项目。这项已有17年历史的计划要求参与者证明其为网络安全供应商,且不生产渗透测试软件等黑客工具。签署保密协议后,他们可以在微软向公众发布漏洞补丁前24小时获得相关信息。
根据微软的 MAPP 网站在线发布信息,一部分经过严格筛选的潜在用户会提前 5 天收到即将发布的补丁通知。
网络安全机构 Sample Micro 旗下 Zero Day Initiative 的威胁意识负责人 Dustin Childs 表示,微软已就导致 SharePoint 攻击的漏洞向该系统的成员发出警告。“这两个漏洞已包含在 MAPP 版本中,” Childs 说,他的公司也是 MAPP 的成员。“我们当然考虑过泄露的可能性。” 他补充说,此类泄露对该系统构成严重威胁,“尽管如此,我仍然认为 MAPP 具有其他价值。”
目前,全球已有超过400家政府机构和企业成为网络攻击的受害者,其中包括负责设计和维护美国核武器的国家核安全管理局。微软将至少部分攻击事件归咎于“亚麻飓风”(Linen Hurricane)和“紫罗兰飓风”(Violet Hurricane)这两个由中国政府资助的组织,以及另一个名为“风暴-2603”(Storm-2603)的中国组织。针对这些指控,中国驻美大使馆表示,中国反对一切形式的网络攻击,同时也反对“在没有确凿证据的情况下抹黑他人”。
越南网络安全公司Viettel的研究员丁浩英科(Dinh Ho Anh Khoa)在5月份于柏林举办的Pwn2Own大会上披露了SharePoint存在未知漏洞。Pwn2Own大会由Childs的团队组织,黑客们在现场观众面前进行演示,寻找关键的安全漏洞。Childs透露,在大多数人的演示和庆祝活动结束后,科与Childs和一位微软顾问前往一个私人房间。科详细阐述了漏洞利用方法,并提交了一份完整的白皮书。微软验证了该分析,并立即着手修复。科为此获得了10万美元的报酬。
微软花了大约 60 天时间才提供恢复方案。网络安全研究人员指出,在 7 月 7 日,也就是微软公开发布补丁的前一天,黑客攻击了 SharePoint 服务器。
Childs表示,黑客有可能独立发现了这些漏洞,并在微软与MAPP成员分享漏洞信息的同一天就开始利用它们。但他同时指出,这可能只是个令人难以置信的巧合。另一种显而易见的可能性是,有人将这些信息泄露给了攻击者。
泄露即将发布的补丁的评论通常是一个严重的安全漏洞,但网络安全公司 SentinelOne 的高级威胁研究员 Jim Walter 表示,“这种情况以前也发生过”。
MAPP 再次成为泄密事件的始作俑者,可以追溯到 2012 年。当时,微软指控中国安全公司杭州 DPtech 实用科技股份有限公司泄露数据,暴露了 Windows Home 的一个重大漏洞。杭州 DPtech 与 MAPP 组织并无关联。当时,一位微软顾问在一份新闻稿中表示,微软也“加强了现有控制措施,并采取措施更好地保护我们的数据”。
2021年,微软怀疑至少两家不同的中国MAPP合作伙伴泄露了其Change服务器的漏洞信息,引发了一场全球黑客攻击活动。微软将此次攻击归咎于一个名为“铪”(Hafnium)的中国间谍组织。这被认为是微软历史上最严重的黑客攻击事件之一——数万台商业服务器遭到入侵,其中包括欧洲银行管理局和挪威议会的服务器。
据彭博社此前报道,在2021年事件发生后,该公司曾考虑修改MAPP计划。但彭博社并未透露最终是否做出任何修改,也未说明是否发现了任何泄露事件。
根据大西洋理事会的一份报告,中国2021年的一项法规规定,任何机构或安全研究人员一旦发现安全漏洞,都必须在48小时内向联邦政府的商业和知识经济部报告。此外,据中国政府网站显示,参与MAPP项目的众多中国公司,例如北京赛博昆仑技术有限公司,同时也是中国政府漏洞数据库——中国国家漏洞数据库的成员。该数据库由中国国家安全部运营。
苏黎世联邦理工学院安全分析中心的研究员尤金尼奥·贝宁卡萨表示,中国企业如何平衡其对微软共享漏洞的保护承诺与向中国政府共享数据的要求之间缺乏透明度。“众所周知,许多此类企业与国家安全机构合作,漏洞管理系统高度集中,”贝宁卡萨说,“这绝对是一个值得密切关注的领域。”
©2025彭博社LP
利用 NextTech Data 提升您的视野,这里是创新与理念的交汇之处。
发现最新突破,获取独特的更新,并加入全球面向未来的思想家群体。
与此同时,掌握未来趋势:学习更多知识,订阅我们的电子新闻简报,并加入 NextTech 社区。 NextTech新闻网
跟随 NextBusiness 24 的步伐,保持领先地位。了解更多故事,订阅我们的电子通讯,加入我们不断壮大的团队,网址为 nextbusiness24.com
