Microsoft 近日確認已停止向中國網絡保安公司提供軟件漏洞的概念驗證碼,改為只提供概括性文字說明。Microsoft 作出此決定前,正調查 7 月份 SharePoint 伺服器遭受的大規模攻擊事件,懷疑其 Microsoft Active Protections Program (MAPP) 成員洩露敏感數據。事件令超過 400 間機構系統被入侵,美國國防部隨即要求 Microsoft 停止使用中國工程師支援政府雲端服務。
保安漏洞預警機制面臨重大改革
Microsoft 發言人 David Cuddy 證實,已在 7 月調整 MAPP 計劃運作模式,限制需要向政府匯報漏洞的國家取得詳細技術數據。中國自 2021 年 9 月實施《網絡產品安全漏洞管理規定》,要求企業和研究人員發現漏洞後 48 小時內向工業和信息化部 (MIIT) 匯報,違者最高可罰款 50 萬元人民幣。
MAPP 計劃自 2008 年啟動,原本讓全球網絡保安供應商提前 24 小時至 5 天獲得漏洞詳情和概念驗證碼,協助他們開發防護措施。參與計劃的中國企業超過 12 間,包括北京賽博崑崙科技等公司。部分成員亦同時參與中國國家安全部監管的政府漏洞數據庫,形成雙重匯報機制。
美國網絡保安公司 SentinelOne 顧問 Dakota Cary 指出,中國企業在 MAPP 計劃中明顯需要回應政府指示,Microsoft 限制數據流通是合理決定。瑞士蘇黎世聯邦理工學院安全研究中心研究員 Eugenio Benincasa 表示,外界多年來懷疑 MAPP 存在洩密問題,中國網絡行動現時備受關注,促使 Microsoft 採取行動。
SharePoint 攻擊揭露系統性保安漏洞
今年 5 月,越南研究員 Dinh Ho Anh Khoa 在柏林 Pwn2Own 網絡保安會議上展示 SharePoint 漏洞,贏得 10 萬美元獎金。Microsoft 在 7 月 8 日修補程式發布日公開漏洞 CVE-2025-49706 和 CVE-2025-49704,但首批修補程式未能完全解決問題。
MAPP 成員分別在 6 月 24 日、7 月 3 日和 7 月 7 日收到漏洞通知。Microsoft 首次偵測到攻擊,恰好是最後一批通知發出當天。Trend Micro 旗下 Zero Day Initiative 威脅感知主管 Dustin Childs 認為,時間吻合顯示 MAPP 成員利用預警數據製作攻擊工具。
Microsoft 威脅情報部門確認,中國國家級黑客組織 Linen Typhoon 和 Violet Typhoon 以及代號 Storm-2603 的團隊參與攻擊。黑客利用名為 ToolShell 的攻擊鏈繞過身份驗證,在伺服器執行惡意程式碼並竊取加密機器密鑰,即使系統已修補仍可保持存取權限。
受害機構遍布全球,包括政府部門、大學、能源公司和私營企業。美國能源部證實旗下國家核能安全管理局系統受影響,但由於廣泛使用雲端服務,損失相對輕微。歐洲網絡保安公司 Eye Security 報告指出,超過 400 個系統在四波攻擊中被入侵。
中國工程師參與敏感系統維護引發爭議
ProPublica 調查揭露,Microsoft 十年來一直使用中國工程師協助維護美國國防部雲端系統。中國工程師透過美國「數碼護送員」遠端指導修補系統漏洞。專家警告,護送員缺乏技術專業知識,難以識別惡意程式碼。
美國國防部長 Pete Hegseth 於 7 月 18 日在社交平台表示,外國工程師絕對不應獲准維護或存取國防部系統。Microsoft 隨即宣布停止使用中國工程師支援國防部雲端服務。公司通訊總監 Frank Shaw 確認已作出改變,確保中國工程團隊不再為國防部政府雲端提供技術協助。
調查發現,Microsoft 也曾使用全球員工包括中國人員,維護司法部、財政部和商務部的政府社區雲端 (GCC) 系統。GCC 獲批處理「中度」影響數據,即失去保密性、完整性和可用性會對機構造成嚴重不利影響的數據。
前 Microsoft 副總裁 Pradeep Nair 表示,數碼護送策略讓公司更快進入市場,贏得重要聯邦雲端合約。但前 Microsoft 工程師 Matthew Erickson 承認,護送員如果看到名為 fix_servers.sh 的指令碼實際執行惡意操作,他們無法察覺問題。
歷年洩密事件暴露結構性問題
MAPP 計劃過往多次出現洩密事件。2012 年,杭州迪普科技違反保密協議,洩露 Windows 遠端桌面協定 (RDP) 重大漏洞的概念驗證碼。漏洞詳情在修補程式發布後數小時內出現在中國黑客討論區,Microsoft 隨即將該公司逐出計劃。
2021 年,Microsoft 懷疑至少兩間中國 MAPP 成員洩露 Exchange 伺服器漏洞數據。黑客組織 Hafnium 利用漏洞發動全球攻擊,入侵數萬部伺服器,包括歐洲銀行管理局和挪威國會系統。同年中國推出新規定,強制企業向政府匯報漏洞,進一步加劇網絡安全風險。
中國《網絡產品安全漏洞管理規定》要求網絡產品提供者、網絡營運者和漏洞收集平台建立接收渠道,及時驗證和修補漏洞。企業必須在發現漏洞兩天內向 MIIT 報告,並為用戶提供技術支援。規定也禁止在特定情況下披露漏洞技術細節。
美國智庫 Silverado Policy Accelerator 主席 Dmitri Alperovitch 形容,要求在發現漏洞兩天內向 MIIT 報告所有技術細節,是法規中最令人擔憂的部分。專家指出,中國利用「法律戰」概念,運用法律制度所有工具達到政治目的。
企業加強防護措施應對新威脅
網絡保安專家建議,機構應該定期更新軟件修補程式,部署端點偵測和回應系統。SharePoint 伺服器管理員需要啟用反惡意軟件掃描介面 (AMSI) 並配置為完整模式,同時部署 Microsoft Defender Antivirus 或同等防護方案。
企業也應該輪換 SharePoint 伺服器 ASP.NET 機器密鑰,並重新啟動網際網路資訊服務 (IIS)。Google 旗下 Mandiant Consulting 技術總監 Charles Carmakal 警告,多個攻擊者正積極利用漏洞,預料不同動機的威脅行動者會繼續使用相關攻擊手法。
Microsoft 同時確認已關閉在中國營運的「透明度中心」,這些設施自 2003 年起讓中國政府審查 Microsoft 原始碼,確保技術沒有隱藏後門供數碼監控使用。發言人表示,中心自 2019 年起已無人到訪,現已永久關閉。
未來預料更多科技公司會重新評估與中國合作夥伴的數據共享安排,企業需要在國際合作與國家安全之間取得平衡,確保敏感技術數據不會被惡意利用。隨著地緣政治緊張局勢持續,網絡保安將成為跨國企業營運的核心考慮因素。
來源:Bloomberg
