Компания Microsoft расследует, могла ли утечка информации из ее программы Microsoft Active Protections Program (MAPP) — системы раннего предупреждения для партнеров в области кибербезопасности — позволить китайским хакерам использовать незакрытые уязвимости в программном обеспечении сервера SharePoint.
Последнее обновление от технологической компании не смогло полностью устранить критическую уязвимость, в результате чего системы технологического гиганта стали объектом сложной глобальной кампании кибершпионажа.
В сообщении в блоге во вторник Microsoft заявила, что взлом осуществляется двумя связанными с китайским государством группами, Linen Typhoon и Violet Typhoon, а также третьей группой, которая, как полагают, также базируется в Китае.
Microsoft расследует предполагаемую утечку информации из партнерской программы по кибербезопасности
В настоящее время компания расследует, могли ли произойти утечки информации из ее программы MAPP, которой делились с партнерами перед выпуском публичных обновлений, что ускорило бы распространение этих атак.
Компания Microsoft подтвердила, что «постоянно оценивает эффективность и безопасность всех своих партнерских программ и вносит необходимые улучшения по мере необходимости»
Уязвимость SharePoint впервые была обнаружена в мае, когда вьетнамский исследователь безопасности Динь Хо Ань Кхоа продемонстрировал её на конференции по кибербезопасности Pwn2Own в Берлине, организованной инициативой Zero Day Initiative компании Trend Micro. Кхоа получил 100 000 долларов, а Microsoft выпустила первый патч в июле.
Однако Дастин Чайлдс, руководитель отдела по информированию об угрозах в Trend Micro, заявил, что партнеры MAPP были проинформированы об уязвимости в три этапа — 24 июня, 3 июля и 7 июля. Поdent, Microsoft отметила, что первые попытки эксплуатации начались 7 июля.
Чайлдс предположил, что наиболее вероятный сценарий заключается в том, что «кто-то из участников программы MAPP использовал эту информацию для создания эксплойтов». Хотя он не назвал ни одного поставщика, он отметил, что попытки использования эксплойтов исходили в основном из Китая, что позволяет «разумно предположить», что утечка произошла от компании из этого региона.
Это не первый случай, когда Microsoft сталкивается с подобной утечкой данных, связанной с MAPP. Десять лет назад компания разорвала контракт с китайской компанией Hangzhou DPTech Technologies Co., Ltd. за нарушение соглашения о неразглашении. Тогда Microsoft признала наличие рисков и поняла, что уязвимые данные могут быть использованы не по назначению.
Программа MAPP, запущенная в 2008 году, была призвана заблаговременно информировать поставщиков решений в области безопасности о технических деталях уязвимостей, а иногда и предоставлять образцы кода для проверки концепции, чтобы они могли лучше защищать своих клиентов. Утечка информации о взломе сейчас прямо противоречила бы миссии программы — расширению возможностей защитников, а не злоумышленников.
Компания Microsoft не сообщила, удалось ли ейdentисточник утечки, но подчеркнула, что любое нарушение соглашения о неразглашении будет воспринято серьезно.
Вновь всплывают подробности прошлых утечек данных, поскольку Microsoft пересматривает целостность программы MAPP
В 2021 году Microsoft заподозрила как минимум двух других китайских партнеров MAPP в утечке информации об уязвимостях на своих серверах Exchange. Это привело к глобальной хакерской кампании, которую Microsoft приписала китайской шпионской группе Hafnium. Это было одно из самых масштабных взломов в истории компании — были взломаны десятки тысяч серверов Exchange, в том числе серверы Европейского банковского управления и норвежского парламента.
После инцидента 2021 года dent рассматривала возможность пересмотра программы MAPP . Однако она не сообщила, были ли в конечном итоге внесены какие-либо изменения или были ли обнаружены какие-либо утечки.
Согласно китайскому закону 2021 года, компании и исследователи в области безопасности обязаны сообщать о вновь обнаруженных уязвимостях в Министерство промышленности и информационных технологий в течение 48 часов, как сообщается в отчете Атлантического совета. Некоторые китайские фирмы, все еще участвующие в программе MAPP, такие как Beijing CyberKunlun Technology Co Ltd., также участвуют в Китайской национальной базе данных уязвимостей, управляемой Министерством государственной безопасности, что вызывает дополнительные опасения по поводу двойных обязательств по отчетности.
Эухенио Бенинкаса, исследователь из Центра исследований безопасности Цюрихского технологического института, указывает на недостаточную прозрачность в том, как китайские компании согласовывают правилаdentMicrosoft с требованиями государственных органов к отчетности. «Мы знаем, что некоторые из этих фирм сотрудничают с органами безопасности, а управление уязвимостями в Китае в значительной степени централизовано», — сказал он. «Эта область явно нуждается в более тщательном изучении»
