Microsoft untersucht, ob ein Datenleck aus seinem Microsoft Active Protections Program (MAPP) – einem Frühwarnsystem für Cybersicherheitspartner – es chinesischen Hackern ermöglicht haben könnte, ungepatchte Schwachstellen in seiner SharePoint-Serversoftware auszunutzen.
Der neueste Patch des Technologieunternehmens konnte eine kritische Sicherheitslücke nicht vollständig beheben und setzte die Systeme des Tech-Giganten einer ausgeklügelten globalen Cyber-Spionagekampagne aus.
In einem Blogbeitrag am Dienstag erklärte Microsoft, dass die Ausnutzung von zwei chinesischen staatsnahen Gruppen, Linen Typhoon und Violet Typhoon, sowie einer dritten Gruppe, die vermutlich ebenfalls in China ansässig ist, durchgeführt wird.
Microsoft untersucht mutmaßliches Datenleck aus Cybersicherheitspartnerprogramm
Das Unternehmen untersucht nun, ob Details aus seinem MAPP-Programm – die vor der Veröffentlichung öffentlicher Patches mit Partnern geteilt wurden – möglicherweise durchgesickert sind und dadurch die Verbreitung dieser Angriffe beschleunigt haben.
Microsoft bestätigte, dass es „die Effektivität und Sicherheit aller Partnerprogramme kontinuierlich überprüft und gegebenenfalls die notwendigen Verbesserungen vornimmt“
Die SharePoint-Schwachstelle wurde erstmals im Mai bekannt, als der vietnamesische Sicherheitsforscher Dinh Ho Anh Khoa sie auf der von Trend Micros Zero Day Initiative organisierten Cybersicherheitskonferenz Pwn2Own in Berlin demonstrierte. Khoa erhielt dafür 100.000 US-Dollar, und Microsoft veröffentlichte im Juli einen ersten Patch.
Dustin Childs, Leiter der Abteilung für Bedrohungsanalyse bei Trend Micro, erklärte jedoch, dass die MAPP-Partner in drei Wellen – am 24. Juni, 3. Juli und 7. Juli – über die Sicherheitslücke informiert worden seien.dentstellte Microsoft fest, dass die ersten Ausnutzungsversuche am 7. Juli begannen.
Childs hielt es für das wahrscheinlichste Szenario, dass „jemand im MAPP-Programm diese Informationen genutzt hat, um die Exploits zu erstellen“. Obwohl er keinen Anbieter nannte, merkte er an, dass die Angriffsversuche hauptsächlich aus China stammten, weshalb es „berechtigt sei zu spekulieren“, dass das Datenleck von einem Unternehmen in dieser Region stammte.
Dies ist nicht das erste Mal, dass Microsoft mit einem solchen Datenleck im Zusammenhang mit MAPP-Programmen zu tun hat. Vor zehn Jahren trennte sich das Unternehmen von dem in China ansässigen Unternehmen Hangzhou DPTech Technologies Co., Ltd., weil dieses gegen die Geheimhaltungsvereinbarung verstoßen hatte. Microsoft räumte damals ein, dass Risiken bestanden und dass man sich der Möglichkeit des Missbrauchs sensibler Daten bewusst war.
Das 2008 eingeführte MAPP-Programm sollte Sicherheitsanbietern frühzeitig technische Details zu Sicherheitslücken – und gelegentlich auch Beispielcode für Proof-of-Concept-Lösungen – zur Verfügung stellen, damit diese ihre Kunden besser schützen können. Ein nun durchgesickertes Sicherheitsleck würde dem Zweck des Programms – die Stärkung der Verteidiger, nicht der Angreifer – diametral entgegenstehen.
Microsoft hat nicht bekannt gegeben, ob die Quelle des Lecksdentwurde, betonte aber, dass jeder Verstoß gegen die Geheimhaltungsvereinbarung ernst genommen werde.
Frühere Sicherheitslücken tauchen wieder auf, da Microsoft die Integrität des MAPP-Programms neu prüft
Im Jahr 2021 hegte Microsoft den Verdacht, dass mindestens zwei weitere chinesische MAPP-Partner Informationen über Sicherheitslücken in seinen Exchange-Servern weitergegeben hatten. Dies führte zu einer weltweiten Hacker-Kampagne, die Microsoft der chinesischen Spionagegruppe Hafnium zuschrieb. Es handelte sich um einen der schwerwiegendsten Sicherheitsvorfälle in der Unternehmensgeschichte – Zehntausende Exchange-Server wurden gehackt, darunter auch Server der Europäischen Bankenaufsichtsbehörde und des norwegischen Parlaments.
Nach dem dent erwog das Unternehmen eine Überarbeitung des MAPP-Programms . Es wurde jedoch nicht bekannt gegeben, ob letztendlich Änderungen vorgenommen wurden oder ob Lecks entdeckt wurden.
Laut einem Bericht des Atlantic Council müssen Unternehmen und Sicherheitsforscher gemäß einem chinesischen Gesetz aus dem Jahr 2021 neu entdeckte Sicherheitslücken innerhalb von 48 Stunden an das Ministerium für Industrie und Informationstechnologie melden. Einige chinesische Firmen, die weiterhin am MAPP-Programm teilnehmen, wie beispielsweise Beijing CyberKunlun Technology Co Ltd., sind auch in der vom Ministerium für Staatssicherheit betriebenen Nationalen Schwachstellendatenbank Chinas eingetragen, was die Bedenken hinsichtlich doppelter Meldepflichten weiter verstärkt.
Eugenio Benincasa, Forscher am Center for Security Studies der ETH Zürich, kritisiert die mangelnde Transparenz chinesischer Unternehmen bei der Umsetzung der Microsoftdentin Verbindung mit staatlichen Meldepflichten. „Wir wissen, dass einige dieser Firmen mit Sicherheitsbehörden zusammenarbeiten, und Chinas Schwachstellenmanagement ist stark zentralisiert“, sagte er. „Dieser Bereich bedarf eindeutig einer genaueren Überprüfung.“
