微軟(Microsoft)SharePointt伺服器上月遭大規模駭客攻擊,這也引發數名網路安全專家質疑微軟「主動防護計劃」(Microsoft Active Protections Program,MAPP)可能出現漏洞,外界及微軟將部分攻擊行動歸咎於北京。MAPP原本用於協助包括中國公司在內的全球安全業者在漏洞公開前先行掌握威脅,更有效抵禦駭客。對此,微軟20日表示,已限縮部分中國公司使用其網路資安漏洞預警系統的權限。
綜合路透、彭博社(Bloomberg)報導,這些駭客鎖定SharePoint伺服器的安全漏洞,造成超過400個政府機構與企業遭入侵,其中包括負責設計並維護美國核武的國家核安全署(National Nuclear Security Administration)。北京當局否認與任何SharePoint駭客行動有關。
據路透先前報導,微軟已在6月24日、7月3日和7月7日通知MAPP成員有關SharePoint的漏洞。由於微軟表示7月7日首次觀察到漏洞遭利用的跡象,因此時間點讓部分專家懷疑,這波駭客攻勢最可能的情況是某個成員濫用相關資訊。
微軟發言人卡迪(David Cuddy)表示,這項變動自上月起生效,限制了「必須將漏洞通報政府」的計劃參與者,其中就包括中國。目前尚不清楚中國駭客是如何發現SharePoint漏洞。不過在攻擊發生後,微軟調查這些漏洞細節是否可能從MAPP合作夥伴外洩。北京當局否認與任何SharePoint駭客行動有關。
微軟在聲明中表示,部分中國公司將不再獲得「概念驗證程式碼」(proof of concept code)。這類程式碼模擬惡意軟體的運作方式,可協助資安專家迅速強化系統,但同時也可能被駭客改造,用來搶先突破防禦。
卡迪說:「我們清楚這類資訊可能被濫用,因此我們會採取公開與非公開措施防範。並持續審查成員,若發現違反合約(包括不得參與攻擊行動),就會暫停或移除其資格。」他沒有評論針對SharePoint漏洞外洩調查的具體發現,只說目前研判多種可能原因。也未具體說明哪些公司受到限制。
中國駐華盛頓大使館發言人則表示,不清楚微軟更動或MAPP外洩的細節,但強調網路安全是「各國共同面臨的挑戰」,應透過對話與合作來解決。
據微軟資料,MAPP成員中至少有十多家中國科技與資安公司,過去能比一般用戶提前至少24小時收到漏洞修補資訊。
對中國成員的疑慮部分來自中國2021年實施的一項法律,規定任何公司或研究人員若發現網路安全漏洞,必須在48小時內向工業和資訊化部通報。此外,MAPP早在2012年就曾爆出外洩疑雲,當時微軟指控中國網路安全公司杭州迪普科技(Hangzhou DPtech Technologies)違反保密協議,洩漏Windows的一項重大漏洞。
更近一次是在2021年,微軟懷疑至少有兩家中國MAPP成員外洩Exchange伺服器漏洞資訊,導致一場全球性駭客攻擊。微軟將這次行動歸咎於一個名為「Hafnium」的中國間諜組織。
美國資安公司SentinelOne的中國議題顧問卡里(Dakota Cary)表示,微軟縮減中國公司接觸漏洞資訊是「極好的改變」。他說:「很清楚MAPP中的中國企業必須回應政府的要求,因此限制提供資訊很合理。」
此外,微軟也首次證實,已關閉過去在中國設立的技術透明中心(transparency centers)。這些設施原先讓中國政府檢視其技術的原始碼,以確認沒有隱藏可用於監控的「後門」。卡迪說,中國的設施早已退役,自2019年以來就再無訪客。
這家科技巨頭自至少2003年起,就允許中國檢視其原始碼,並宣稱自己是「第一家讓中國政府能檢視原始碼的商業軟體公司」,目的是讓當北京局對Windows平台的安全性更有信心。
