微软黑客攻击受害者需警惕“休眠间谍”威胁——彭博社
Dave Lee
针对SharePoint的代码修复不应让用户产生自满情绪。
摄影师:Adam Gray/Bloomberg
今年五月,越南网络安全研究员Dinh Ho Anh Khoa在微软公司文档管理软件SharePoint中发现了一个漏洞,该活动旨在鼓励道德黑客行为以使我们的技术更加健壮。他获得了活动赞助方趋势科技安全集团提供的10万美元奖金。
根据协议,此类竞赛中发现的漏洞必须保密,以便受影响公司有时间评估威胁、开发修复程序、测试并发布。就本次事件而言,微软在7月8日前发布了补丁——网络安全专家表示这个时间框架是合理的,因为在7月7日之前没有迹象表明该漏洞已被"在野"利用。
彭博社观点* ICE将拘留重新定义为开放式威胁
- 共和党人错失医疗补助改革良机
- 美联储需谨慎应对这种奇怪的美元现象
- 汉堡成为餐饮界的避风港 然而在所谓修复后的几天内,情况表明微软工程师遗漏了某些问题。据称代表中国行事的复杂攻击者找到了变通方案。该漏洞已被用于攻击数百个实体,包括政府机构。周二有报道称美国核武器安全局也受到影响。该攻击使黑客能无限制访问受害者的SharePoint系统及其中所有有价值数据。安全公告解释称,漏洞利用还允许攻击者在服务器上"执行代码"。微软紧急更新了补丁程序,并于周一发布。专家们正在观察其有效性。
但微软能做的也有限。此次攻击的一个关键细节是,它仅影响那些使用本地SharePoint安装的用户——即使用自有服务器运行该软件并为员工提供访问权限的公司,而非付费让微软在云端托管。这样做有充分(且通常为法律要求)的理由,但这也意味着受影响用户现在需自行承担执行微软建议的责任,这些建议已得到美国网络安全官员的认可,包括采取措施使被盗加密密钥失效。
最需警惕的是,此次黑客攻击可能为后续更严重的攻击奠定基础。网络安全公司Eye Security的分析追踪专家Vaisha Bernard警告称,企业切勿因"在攻击后几天内应用更新"就误以为安全。他表示"后门可能早已植入,几周后他人或利用这些后门发起勒索软件攻击,彻底瘫痪组织"。
数字休眠细胞实际上可能正等待时机。这种模式我们早有先例。2021年,微软Exchange Server本地实例中发现多个可获取管理员权限的漏洞。补丁发布十天后,微软安全研究人员警告称出现新型勒索软件"家族",专门攻击补丁安装前已受影响的服务器。
即便如美国核能机构所保证的,目标SharePoint中未存储"敏感"数据,风险也只是降低而已。要令欺骗手段效力倍增,其实并不需要太多"内部"信息。比如下周末公司垒球比赛的细节,就可能成为社会工程学的足够筹码。这是一个风险点。另一个风险在于,伯纳德指出,入侵企业SharePoint服务器的黑客可能借此在企业IT系统间进行"横向移动"。“只需稍加操作——而且相当容易——黑客就能渗透网络中的其他服务器,“他表示,“随后逐步获取系统管理员权限,进而掌控这些网络中的所有系统。”
将矛头指向微软并归咎于其失职或许很诱人。就目前所知,这种指责有失公允。没有任何软件能免于漏洞,而鼓励发现漏洞的道德体系在本案中基本发挥了作用——在黑客手段公开前就向微软预警了问题(尽管漏洞情报恰在7月8日补丁发布前夕泄露的情况值得调查)。当首次修复失败时,微软反应迅速。用伯纳德的话说,“堪称神速”。
整个事件揭示了网络安全行业与国际恶意行为体之间永无止境的高风险博弈。这场较量永远不会停歇。
更多彭博观点精选:
想要更多彭博观点?终端读者请前往OPIN <GO>。或订阅我们的每日通讯。