В масштабном взломе серверов SharePoint может быть повинна утечка из Microsoft

[душман]

Microsoft намеревается провести проверку, не послужила ли её собственная система раннего оповещения об уязвимостях источником утечки, которая привела к масштабному взлому ресурсов SharePoint. К этой системе подключены компании, специализирующиеся на вопросах кибербезопасности, и софтверный гигант пытается установить, не воспользовались ли ей злоумышленники до того, как началось устранение выявленных в SharePoint уязвимостей.

«В рамках нашей стандартной процедуры мы изучим этот инцидент, выявим области для улучшения и широко развернём эти улучшения», — цитирует Bloomberg заявление представителя Microsoft; он также отметил, что партнёрские программы помогают компании в обеспечении безопасности. Вину за серию взломов SharePoint в Microsoft возложили на китайских хакеров, которых, по версии корпорации, поддерживают власти страны.

В программе Microsoft по активной защите (Microsoft Active Protections Program — MAPP) участвуют не менее десятка китайских компаний. Она существует уже 17 лет, и каждому новому участнику приходится доказывать, что он является поставщиком решений в области кибербезопасности и не производит хакерских инструментов, в том числе ПО для тестирования на проникновения в системы. 

Подписав соглашение о неразглашении, такие компании получают информацию о новых исправлениях уязвимостей за 24 часа до того, как их публикует сама Microsoft. Наиболее доверенные участники программы получают сведения ещё на пять дней раньше. В специализирующейся на вопросах кибербезопасности японской компании Trend Micro подтвердили, что получили уведомление о двух опасных уязвимостях SharePoint по каналу MAPP и подумали о возможности утечки.

Но и сейчас не сомневаются в ценности программы. Жертвами серии атак стали более 400 корпораций и государственных учреждений по всему миру — вплоть до Национального управления по ядерной безопасности США, ответственного за разработку и обслуживание ядерного оружия. Массовый взлом, по версии Microsoft, организовали китайские хакерские группировки Linen Typhoon, Violet Typhoon и Storm-2603.

Об уязвимостях SharePoint впервые сообщил в мае этого года эксперт вьетнамской компании Viettel Динь Хо Ань Хоа на берлинской конференции Pwn2Own, там же он передал все документы представителю Microsoft и получил вознаграждение в $100 000. Компании потребовались около 60 дней, чтобы разработать средство исправления уязвимостей, но 7 июля, накануне публичного выпуска патча, хакеры произвели масштабную атаку на серверы SharePoint. 

Они могли их выявить самостоятельно и начать эксплуатировать в тот самый день, когда Microsoft распространила оповещение среди членов MAPP, но это, по мнению экспертов, было бы немыслимым совпадением — более вероятным представляется сценарий, что кто-то поделился информацией с киберпреступниками. MAPP уже оказывалась источником утечек. В 2012 году Microsoft обвинила китайскую компанию Hangzhou DPtech в раскрытии информации о серьёзной уязвимости в Windows и исключила её из программы. 

В 2021 году Microsoft заподозрила минимум двух китайских партнёров по MAPP в утечке сведений об уязвимости серверов Exchange, что привело к крупномасштабной атаке, организованной, по версии корпорации, китайской группировкой Hafnium. Тогда взлому подверглись десятки тысяч серверов Exchange, в том числе ресурсы, принадлежащие Европейской службе банковского надзора и парламента Норвегии.