微软限制中企获取网安漏洞通知早期权限

美国科技公司微软于周三（8月20日）证实已经限制中国公司获取其网络安全漏洞通知的早期权限。之前，微软一直在调查中共黑客是否通过其警报系统提前获知SharePoint软件漏洞。

彭博社周三报道说，微软发言人大卫·库迪（David Cuddy）在一份声明中表示，微软在7月份做出了一项调整，将限制“需要向政府报告漏洞的国家”的公司获取微软的内部早期通知，其中包括中国。

据悉，有十几家中国公司参加了微软的主动保护计划（Microsoft Active Protections Program, MAPP），该计划会提前24小时或更早为网络安全供应商披露新发现的漏洞资讯。

7月7日，在微软发出MAPP信息后，并在其公开公布修补程式前一天，中共黑客对SharePoint发起了攻击。超过400个政府机构和企业在SharePoint攻击中遭到入侵，其中包括负责设计和维护美国核武器的国家核安全局（NSP）。

微软已经确认了中共政府支持的两个黑客组织Linen Typhoon和Violet Typhoon参与了这次攻击行动。微软还观察到另一个中国威胁行为体（threat actor），追踪编号为Storm-2603。

目前尚不清楚中共黑客是如何发现SharePoint漏洞的。

根据新调整，微软将不再向受此变更影响的MAPP参与者提供演示漏洞的“概念验证”代码。该公司发言人表示，取而代之的是，它将向他们提供关于漏洞的“更通用的书面描述”，并在发布修复漏洞补丁的同时发送。

“我们意识到这些信息可能被滥用，因此我们采取已知和保密的措施来防止滥用。”库迪说，“我们会持续审查（MAPP）参与者，如果发现他们违反了与我们签订的合同，包括禁止参与攻击行为，我们将暂停或移除他们的会员资格。”

美国网络安全公司SentinelOne的中国顾问达科塔·卡里（Dakota Cary）告诉彭博社，微软限制中国公司获取网络安全漏洞信息的决定是一个“重大改变”。

“很明显，MAPP中的中国公司必须对（中共）政府的激励措施做出响应。”他说，“因此，（微软）限制提供的信息是合理的。”

中国公司泄露微软漏洞有先例

早在2012年，微软就指控MAPP的成员——中国网络安全公司杭州迪普科技股份有限公司泄露Windows的一个重大漏洞信息。随后，该公司被从MAPP中除名。

2021年，微软怀疑至少另外两家中国MAPP合作伙伴泄露了其Exchange服务器漏洞信息。该漏洞引发了一场全球黑客攻击，微软认为跟一个名为Hafnium的中共间谍组织有关。

彭博社此前报道，在2021年事件发生后，微软曾考虑修改MAPP计划，但并未透露最终是否做出了任何修改，也未公开是否发现了任何漏洞。

据美国智库大西洋理事会的一份报告，中共2021年出台的一项法律要求，安全研究员或公司在发现漏洞后必须48小时内向政府报告。

中共政府网站显示，一些仍留在MAPP计划中的中国公司，例如北京赛博昆仑科技有限公司，同时也是中共政府漏洞项目——中国国家漏洞数据库的成员。这可能导致MAPP成员将漏洞资讯分享给中共政府，进而增加被滥用的风险。

微软已关闭在华透明中心

微软还首次证实，他们还关闭了此前在中国设立的“透明中心”。该中心允许中共政府可以在此处审查该公司技术的源代码，以确保其没有可用于数字监控的隐藏“后门”。

库迪表示，他们在中国的此类设施“早已退役”，而且“自2019年以来，就没有人访问过中国的任何此类设施”。

微软自2003年起就允许中共政府访问其源代码，当时该公司自称是“第一家向中国（中共）政府提供源代码访问权限的商业软件公司”，并以此向北京保证Windows系统的安全性。

微软最近的披露是在回应彭博社的一份新报道。该报道发现，与中共网络间谍活动相关的中国组织与MAPP项目成员在武汉的同一个园区内工作。