彭博社周五(7月25日)報道,微軟公司正在調查中共黑客是否通過其警報系統提前獲知漏洞。
據悉,有十幾家中國公司參加了微軟的主動保護計劃(Microsoft Active Protections Program, MAPP),該計劃會提前為網絡安全供應商披露新發現的漏洞資訊。然後就在很「巧合」的時間段,中共黑客搶在微軟公布補丁前一天發起攻擊。
報道說,據知情人士透露,微軟正在調查其早期預警系統是否發生資料洩露,導致中共黑客在其SharePoint服務漏洞被修補之前動手。SharePoint是微軟推出的文件管理軟件。
微軟發言人表示,公司將審查事件,找出需要改進的地方,並廣泛應用這些改進措施。他還補充,合作夥伴計劃是公司安全響應的重要組成部份。
根據其網站介紹,微軟的主動保護計劃(MAPP)屬於早期預警系統,加入成員必須證明是網絡安全供應商,並且不生產滲透測試軟件等黑客工具。
「巧合」的攻擊時機
7月7日,也就是在微軟公開公布修補程式前一天,黑客對SharePoint發起了攻擊。
網絡安全公司趨勢科技零日計劃威脅意識主管達斯汀‧查爾茲(Dustin Childs)表示,這種時間上的巧合「難以置信」。他推斷,黑客有可能是在微軟與MAPP成員分享漏洞消息時獲得資訊並迅速行動。
目前,至少有十二家中國公司參與MAPP計劃。他們已被要求簽署保密協議,可以享有在微軟發布新漏洞補丁前24小時或更早(對更高級別的合作夥伴為5天)收到微軟的相關資訊。
查爾茲說,他們確實思考過MAPP數據洩露的可能性。同時,他也證實,微軟確實曾向MAPP成員通報SharePoint漏洞,他們公司作為MAPP的成員,有收到通知。
「這兩個漏洞包含在MAPP版本中。我們當然想過數據洩露的可能性。」查爾茲補充,這種洩露將對該計劃構成嚴重威脅,「儘管我仍然認為MAPP很有價值」。
SharePoint漏洞最早是越南網絡安全公司Viettel的研究員Dinh Ho Anh Khoa今年5月在Pwn2Own大會上首次透露的。他通過完整與保密渠道向微軟提交了一份完整的白皮書,並獲得微軟的驗證。Khoa因這項工作贏得了10萬美元獎金。此後,微軟用了約兩個月的時間來修復和準備補丁,並準備7月8日公布。
微軟周二(7月22日)確認了中共政府支持的兩個黑客組織Linen Typhoon和Violet Typhoon參與了這次攻擊行動。微軟還觀察到另一個中國威脅行為體(threat actor),追蹤編號為Storm-2603。
荷蘭網絡安全公司Eye Security估計,黑客已通過SharePoint入侵約400個政府機構、企業和其它團體。據悉,美國國家核安全管理局也遭遇攻擊。
中國公司洩露微軟漏洞有先例
還有一種可能就是有人與攻擊者共享了訊息。網絡公司SentinelOne的高級威脅研究員吉姆‧沃特(Jim Walter)表示,過去也發生過類似的情況。
早在2012年,微軟就指控MAPP的成員——中國網絡安全公司杭州迪普科技股份有限公司洩露Windows的一個重大漏洞訊息。隨後,該公司被從MAPP中除名。
2021年,微軟懷疑至少另外兩家中國MAPP合作夥伴洩露了其Exchange伺服器漏洞訊息。該漏洞引發了一場全球黑客攻擊,微軟認為跟一個名為Hafnium的中共間諜組織有關。
彭博社此前報道,在2021年事件發生後,微軟曾考慮修改MAPP計劃。但並未透露最終是否做出了任何修改,也未透露是否發現了任何漏洞。
據美國智庫大西洋理事會的一份報告,中共2021年出台的一項法律要求,安全研究員或公司在發現漏洞後必須48小時內向政府報告。
中共政府網站顯示,一些仍留在MAPP計劃中的中國公司,例如北京賽博崑崙科技有限公司,同時也是中共政府漏洞項目——中國國家漏洞數據庫——的成員。這可能導致MAPP成員將漏洞資訊分享給中共政府,進而增加被濫用的風險。
蘇黎世聯邦理工學院安全研究中心研究員尤金尼奧‧貝寧卡薩(Eugenio Benincasa)表示,中國公司在承諾保護微軟共享的漏洞與要求其與中共政府共享訊息之間缺乏透明度。
「我們知道其中一些公司與(中共)國家安全機構合作,而且漏洞管理系統高度集中。」貝寧卡薩說,「這絕對是一個需要更嚴格審查的領域。」#
----------------------
♠️中美關係藏暗湧♦️
1️⃣ 美國境內的秘密戰爭
https://tinyurl.com/bdhrdnt7
2️⃣ 跨國鎮壓技倆一覽
https://tinyurl.com/4xst7r2d
3️⃣ 評論:習近平實權暗地移交 新決策層如何抉擇?
https://tinyurl.com/3c8h2d9n
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
