微软调查中共黑客入侵 指向内部警报泄露

彭博社周五（7月25日）报道，微软公司正在调查中共黑客是否通过其警报系统提前获知漏洞。

据悉，有十几家中国公司参加了微软的主动保护计划（Microsoft Active Protections Program, MAPP），该计划会提前为网络安全供应商披露新发现的漏洞资讯。然后就在很“巧合”的时间段，中共黑客抢在微软公布补丁前一天发起攻击。

报道说，据知情人士透露，微软正在调查其早期预警系统是否发生资料泄露，导致中共黑客在其SharePoint服务漏洞被修补之前动手。SharePoint是微软推出的文件管理软件。

微软发言人表示，公司将审查事件，找出需要改进的地方，并广泛应用这些改进措施。他还补充说，合作伙伴计划是公司安全响应的重要组成部分。

根据其网站介绍，微软的主动保护计划（MAPP）属于早期预警系统，加入成员必须证明是网络安全供应商，并且不生产渗透测试软件等黑客工具。

“巧合”的攻击时机

7月7日，也就是在微软公开公布修补程式前一天，黑客对SharePoint发起了攻击。

网络安全公司趋势科技零日计划威胁意识主管达斯汀‧查尔兹（Dustin Childs）表示，这种时间上的巧合“难以置信”。他推断，黑客有可能是在微软与MAPP成员分享漏洞消息时获得资讯并迅速行动。

目前，至少有十二家中国公司参与MAPP计划。他们已被要求签署保密协议，可以享有在微软发布新漏洞补丁前24小时或更早（对更高级别的合作伙伴为5天）收到微软的相关资讯。

查尔兹说，他们确实思考过MAPP数据泄露的可能性。同时，他也证实，微软确实曾向MAPP成员通报SharePoint漏洞，他们公司作为MAPP的成员，有收到通知。

“这两个漏洞包含在MAPP版本中。我们当然想过数据泄露的可能性。”查尔兹补充说，这种泄露将对该计划构成严重威胁，“尽管我仍然认为MAPP很有价值”。

SharePoint漏洞最早是越南网络安全公司Viettel的研究员Dinh Ho Anh Khoa今年5月在Pwn2Own大会上首次透露的。他通过完整与保密渠道向微软提交了一份完整的白皮书，并获得微软的验证。Khoa因这项工作赢得了10万美元奖金。此后，微软用了约两个月的时间来修复和准备补丁，并准备7月8日公布。

微软周二（7月22日）确认了中共政府支持的两个黑客组织Linen Typhoon和Violet Typhoon参与了这次攻击行动。微软还观察到另一个中国威胁行为体（threat actor），追踪编号为Storm-2603。

荷兰网络安全公司Eye Security估计，黑客已通过SharePoint入侵约400个政府机构、企业和其它团体。据悉，美国国家核安全管理局也遭遇攻击。

中国公司泄露微软漏洞有先例

还有一种可能就是有人与攻击者共享了信息。网络公司SentinelOne的高级威胁研究员吉姆‧沃特（Jim Walter）表示，过去也发生过类似的情况。

早在2012年，微软就指控MAPP的成员——中国网络安全公司杭州迪普科技股份有限公司泄露Windows的一个重大漏洞信息。随后，该公司被从MAPP中除名。

2021年，微软怀疑至少另外两家中国MAPP合作伙伴泄露了其Exchange服务器漏洞信息。该漏洞引发了一场全球黑客攻击，微软认为跟一个名为Hafnium的中共间谍组织有关。

彭博社此前报道，在2021年事件发生后，微软曾考虑修改MAPP计划。但并未透露最终是否做出了任何修改，也未透露是否发现了任何漏洞。

据美国智库大西洋理事会的一份报告，中共2021年出台的一项法律要求，安全研究员或公司在发现漏洞后必须48小时内向政府报告。

中共政府网站显示，一些仍留在MAPP计划中的中国公司，例如北京赛博昆仑科技有限公司，同时也是中共政府漏洞项目——中国国家漏洞数据库——的成员。这可能导致MAPP成员将漏洞资讯分享给中共政府，进而增加被滥用的风险。

苏黎世联邦理工学院安全研究中心研究员尤金尼奥‧贝宁卡萨（Eugenio Benincasa）表示，中国公司在承诺保护微软共享的漏洞与要求其与中共政府共享信息之间缺乏透明度。

“我们知道其中一些公司与（中共）国家安全机构合作，而且漏洞管理系统高度集中。”贝宁卡萨说，“这绝对是一个需要更严格审查的领域。”