微软称中国黑客利用SharePoint漏洞(MSFT) - 彭博社

一名用户在香港使用微软Surface平板电脑。

摄影师：Billy H.C. Kwok/彭博社微软公司指控中国国家支持的黑客利用其SharePoint文档管理软件漏洞，针对全球企业和政府机构发起网络攻击活动。

在周二发布的博客中，这家科技巨头指认中国政府支持的两个组织"亚麻台风"和"紫罗兰台风"正在利用客户在本地网络（而非云端）管理的SharePoint软件漏洞。博客称，另一个总部位于中国的黑客组织Storm-2603也利用了这些SharePoint漏洞。

微软表示：“对其他同样利用这些漏洞的行为者的调查仍在进行中。鉴于这些漏洞利用方式被迅速采用，微软高度确信威胁行为者将继续将其整合到攻击中。”

中国驻外使馆在声明中表示，中国坚决反对一切形式的网络攻击和网络犯罪。

声明称：“同时，我们也坚决反对在缺乏确凿证据的情况下抹黑他国。”

“我们希望有关方面在定性网络事件时采取专业、负责的态度，基于充分证据得出结论，而非无端猜测和指责。“声明强调。

其他网络安全研究人员表示，多个黑客组织一直在利用这款热门微软软件中的漏洞，部分专家指出其中很可能包括来自中国的攻击者。

据知情人士透露，黑客已利用该漏洞入侵了欧洲和中东多国政府系统。这位因讨论敏感信息要求匿名的消息人士称，在美国，黑客还侵入了包括教育部、佛罗里达州税务局和罗德岛州议会等政府机构系统。

苏黎世联邦理工学院专门研究中国网络攻击的研究员欧金尼奥·贝宁卡萨表示，受害组织类型、攻击手法与其他初步证据均符合国家支持的中国间谍活动特征。

安全公司Eye Security已检测到代表60个受害机构的100多台服务器遭入侵，包括能源行业组织、咨询公司和大学。该公司称受害者还分布于沙特阿拉伯、越南、阿曼和阿拉伯联合酋长国。

据两家网络安全公司CrowdStrike Holdings Inc.和谷歌旗下Mandiant Consulting的代表称，多个不同黑客组织正通过微软漏洞发起攻击。

CrowdStrike高级副总裁亚当·迈尔斯表示，攻击者自7月7日起就利用SharePoint漏洞试图入侵两个"高价值目标”。早期攻击具有政府支持活动的特征，随后范围扩大至包含"疑似中国"的黑客行为。迈尔斯称该公司对该攻击行动的调查仍在进行中。

微软已针对SharePoint文档管理软件服务器中的漏洞发布补丁。该公司表示，在警告黑客正利用该缺陷攻击SharePoint客户端、入侵文件系统并执行代码后，仍在努力推出其他修复程序。

观察：微软SharePoint遭黑客攻击使数千家机构面临风险，科技巨头正紧急开发补丁。

美国教育部和罗德岛州立法机构的代表周一未回应寻求置评的电话和邮件。佛罗里达州税务部发言人贝瑟尼·韦斯特·卡蒂略在邮件中表示，正"在政府多个层级"调查SharePoint漏洞，但该州机构"不会公开评论我们用于运营的软件”。

据彭博新闻社查阅的一份网络安全公司报告显示，黑客还入侵了美国一家医疗保健提供商的系统，并瞄准了东南亚一所公立大学。报告未具体点名这两家机构，但指出黑客试图入侵包括巴西、加拿大、印尼、西班牙、南非、瑞士、英国和美国在内的多国SharePoint服务器。因信息敏感性，该机构要求匿名。

据一位知情人士透露，在某些被攻破的系统中，黑客窃取了包括用户名、密码、哈希码和令牌在内的登录凭证。该人士同样要求匿名讨论敏感信息。

“这是一个高严重性、高紧迫性的威胁，”Palo Alto Networks Inc旗下Unit 42威胁情报部门首席技术官迈克尔·西科尔斯基表示。

“尤其令人担忧的是SharePoint与微软平台的深度集成，包括其Office、Teams、OneDrive和Outlook等服务，这些服务包含攻击者觊觎的所有信息，”他说道，“一旦被攻破，影响不会局限——它将为攻击者打开通往整个网络的大门。”

全球数以万计（甚至数十万）的企业和机构以不同方式使用SharePoint进行文档存储与协作。微软表示，攻击者专门针对那些在本地网络运行SharePoint服务器的客户，而非由该公司托管管理的用户，这可能将影响范围限制在部分客户群体内。

“这对勒索软件运营者来说是梦寐以求的，”密歇根州网络安全公司Censys研究员西拉斯·卡特勒表示。他估计超过10,000家拥有SharePoint服务器的企业面临风险，其中美国此类企业数量最多，其次是荷兰、英国和加拿大。

在一系列重大安全事件后，此次漏洞事件使微软的网络安全强化措施再度受到严格审查。该公司已从美国政府等机构聘请高管，并每周与高层举行会议以提升软件防御能力。近年来其技术多次遭遇大规模破坏性黑客攻击，2024年美国政府报告指出该公司的安全文化亟需彻底改革。

观看：黑客利用微软常见软件中的安全漏洞入侵了政府、企业及其他组织。罗莎琳德·马西森为您解析事件详情。

美国州和地方政府网络安全信息共享系统运营方互联网安全中心的安全运营与情报副总裁兰迪·罗斯表示，已发现超过1,100台服务器存在SharePoint漏洞风险。罗斯称其中逾百台可能已遭入侵。

Eye Security指出，这些漏洞使黑客能访问SharePoint服务器并窃取密钥，即使在服务器打补丁后仍可冒充用户或服务。该机构称黑客可通过后门或经篡改的组件维持访问权限，这些组件能在系统更新和重启后持续存在。

名为"ToolShell"的SharePoint漏洞最初由柏林网络安全会议研究人员于5月发现。7月初虽发布了修复补丁，但黑客找到了新的入侵途径。

Eye Security首席黑客兼联合创始人维莎·伯纳德表示：“补丁存在规避方法”，黑客可利用类似漏洞入侵SharePoint服务器，“这正是攻击得逞的原因”。他称这些入侵并非定向攻击，而是以尽可能多的受害者为目标。

伯纳德拒绝透露受害组织具体信息，但确认包括政府机构和私营企业，涉及"大型跨国公司"。受害者分布于北美、南美、欧盟、南非及澳大利亚等多国。