微软SharePoint遭黑客攻击:调查中国黑客是否通过警报发现漏洞 - 彭博社
Ryan Gallagher, Margi Murphy, Patrick Howell O’Neill
2025年7月22日星期二,美国纽约,一名行人走过微软办公室。微软公司警告称,中国国家支持的黑客正在利用其SharePoint软件中的漏洞入侵全球机构,其中美国负责设计核武器的机构也遭到入侵。摄影师:亚当·格雷/彭博社据知情人士透露,微软公司正在调查其网络安全公司早期预警系统的泄露是否让中国黑客在补丁发布前利用了SharePoint服务中的漏洞。
知情人士表示,这家科技公司正在调查该计划——旨在让网络安全专家在新安全问题曝光前修复计算机系统——是否导致了过去几天其SharePoint软件漏洞在全球范围内被广泛利用。这些人士要求匿名讨论私人事务。
“作为标准流程的一部分,我们将审查这一事件,找出需要改进的地方,并广泛实施这些改进,”微软发言人在一份声明中表示,并补充说合作伙伴计划是公司安全响应的重要组成部分。
中国驻华盛顿大使馆援引外交部发言人郭家琨本周早些时候对媒体的评论,反对黑客活动。“网络安全是各国面临的共同挑战,应通过对话与合作共同应对,”郭家琨说。“中国反对并依法打击黑客活动。同时,我们反对以网络安全问题为借口对中国进行污蔑和攻击。”
微软将SharePoint遭入侵事件归咎于中国国家支持的黑客,根据微软官网信息,至少有十几家中国企业参与了名为"微软主动保护计划"(MAPP)的项目。这个已有17年历史的项目成员需证明自身是网络安全供应商,且不生产渗透测试软件等黑客工具。签署保密协议后,他们能在微软向公众发布前24小时获取漏洞补丁信息。
微软MAPP网站显示,经过更严格审查的部分用户可提前五天收到补丁通知。
趋势科技"零日计划"威胁情报负责人达斯汀·柴尔兹表示,微软曾就导致SharePoint攻击的漏洞向计划成员发出警报。“这两个漏洞包含在MAPP更新中,“作为成员企业的柴尔兹坦言,“我们确实考虑过信息泄露的可能性。“他补充说此类泄露将对计划构成严重威胁,“尽管我仍认为MAPP具有重要价值”。
延伸阅读:微软SharePoint遭黑客攻击波及全球数百家机构
目前全球已有超过400家政府机构及企业受害,包括负责美国核武器的国家核安全管理局。微软指控部分攻击由中国政府支持的"亚麻台风”、“紫罗兰台风"以及另一个中国黑客组织"风暴-2603"实施。中国驻外使馆回应称反对一切网络攻击行为,同时反对"无确凿证据的污蔑”。
越南网络安全公司Viettel研究员丁胡安科(Dinh Ho Anh Khoa)五月份在柏林举行的Pwn2Own大会上披露了SharePoint存在未知漏洞。该会议由柴尔兹机构主办,黑客们在现场观众面前寻找关键安全漏洞。柴尔兹表示,公开演示和庆祝活动后,科与柴尔兹及微软代表进入私密房间,详细解释了漏洞利用方法并提交了完整白皮书。微软验证研究后立即着手修复,科因此获得10万美元奖金。
网络安全研究人员称,微软耗时约60天完成修复。7月7日(公开补丁发布前一天),黑客攻击了SharePoint服务器。
柴尔兹认为黑客可能独立发现漏洞,并在微软向MAPP成员共享的同日开始利用,但称这种巧合概率极低。另一种明显情况是有人向攻击者泄露了信息。
网络安全公司SentinelOne高级威胁研究员吉姆·沃尔特表示,补丁发布前消息泄露属重大安全失误,但"此前确有先例”。
早在2012年,MAPP就曾涉嫌泄密,当时微软指控中国网络安全公司杭州迪普科技泄露Windows重大漏洞信息。杭州迪普随后被移出MAPP计划。微软代表当时在声明中表示已"加强现有管控措施,采取行动更好地保护信息”。
2021年,微软怀疑至少还有两家中国MAPP合作伙伴泄露了其Exchange服务器的漏洞信息,导致了一场全球性的黑客攻击活动,微软将此归咎于一个名为Hafnium的中国间谍组织。这是该公司有史以来最严重的入侵事件之一——数万台Exchange服务器遭到入侵,包括欧洲银行管理局和挪威议会。
据彭博社此前报道,2021年事件发生后,该公司考虑修订MAPP计划。但并未透露是否最终做出了任何改变,或是否发现了任何泄露。
根据大西洋理事会的一份报告,2021年中国法律规定,任何公司或安全研究人员发现安全漏洞必须在48小时内向政府工业和信息化部报告。根据中国政府网站,一些仍参与MAPP的中国公司,如北京网神科技有限公司,也是中国政府漏洞计划——中国国家漏洞数据库的成员,该数据库由国家公安部运营。
苏黎世联邦理工学院安全研究中心的研究员Eugenio Benincasa表示,中国公司如何平衡其对微软共享漏洞的保密承诺与向中国政府共享信息的要求,缺乏透明度。“我们知道其中一些公司与国家安全机构合作,漏洞管理系统高度集中,”Benincasa说。“这绝对是一个值得更严格审查的领域。”