微軟稱中國黑客利用SharePoint漏洞(MSFT) - 彭博社

一名用户在香港使用微軟Surface平板電腦。

攝影師：Billy H.C. Kwok/彭博社微軟公司指控中國國家支持的黑客利用其SharePoint文檔管理軟件漏洞，針對全球企業和政府機構發起網絡攻擊活動。

在週二發佈的博客中，這家科技巨頭指認中國政府支持的兩個組織"亞麻颱風"和"紫羅蘭台風"正在利用客户在本地網絡（而非雲端）管理的SharePoint軟件漏洞。博客稱，另一個總部位於中國的黑客組織Storm-2603也利用了這些SharePoint漏洞。

微軟表示：“對其他同樣利用這些漏洞的行為者的調查仍在進行中。鑑於這些漏洞利用方式被迅速採用，微軟高度確信威脅行為者將繼續將其整合到攻擊中。”

中國駐外使館在聲明中表示，中國堅決反對一切形式的網絡攻擊和網絡犯罪。

聲明稱：“同時，我們也堅決反對在缺乏確鑿證據的情況下抹黑他國。”

“我們希望有關方面在定性網絡事件時採取專業、負責的態度，基於充分證據得出結論，而非無端猜測和指責。“聲明強調。

其他網絡安全研究人員表示，多個黑客組織一直在利用這款熱門微軟軟件中的漏洞，部分專家指出其中很可能包括來自中國的攻擊者。

據知情人士透露，黑客已利用該漏洞入侵了歐洲和中東多國政府系統。這位因討論敏感信息要求匿名的消息人士稱，在美國，黑客還侵入了包括教育部、佛羅里達州税務局和羅德島州議會等政府機構系統。

蘇黎世聯邦理工學院專門研究中國網絡攻擊的研究員歐金尼奧·貝寧卡薩表示，受害組織類型、攻擊手法與其他初步證據均符合國家支持的中國間諜活動特徵。

安全公司Eye Security已檢測到代表60個受害機構的100多台服務器遭入侵，包括能源行業組織、諮詢公司和大學。該公司稱受害者還分佈於沙特阿拉伯、越南、阿曼和阿拉伯聯合酋長國。

據兩家網絡安全公司CrowdStrike Holdings Inc.和谷歌旗下Mandiant Consulting的代表稱，多個不同黑客組織正通過微軟漏洞發起攻擊。

CrowdStrike高級副總裁亞當·邁爾斯表示，攻擊者自7月7日起就利用SharePoint漏洞試圖入侵兩個"高價值目標”。早期攻擊具有政府支持活動的特徵，隨後範圍擴大至包含"疑似中國"的黑客行為。邁爾斯稱該公司對該攻擊行動的調查仍在進行中。

微軟已針對SharePoint文檔管理軟件服務器中的漏洞發佈補丁。該公司表示，在警告黑客正利用該缺陷攻擊SharePoint客户端、入侵文件系統並執行代碼後，仍在努力推出其他修復程序。

觀察：微軟SharePoint遭黑客攻擊使數千家機構面臨風險，科技巨頭正緊急開發補丁。

美國教育部和羅德島州立法機構的代表週一未回應尋求置評的電話和郵件。佛羅里達州税務部發言人貝瑟尼·韋斯特·卡蒂略在郵件中表示，正"在政府多個層級"調查SharePoint漏洞，但該州機構"不會公開評論我們用於運營的軟件”。

據彭博新聞社查閲的一份網絡安全公司報告顯示，黑客還入侵了美國一家醫療保健提供商的系統，並瞄準了東南亞一所公立大學。報告未具體點名這兩家機構，但指出黑客試圖入侵包括巴西、加拿大、印尼、西班牙、南非、瑞士、英國和美國在內的多國SharePoint服務器。因信息敏感性，該機構要求匿名。

據一位知情人士透露，在某些被攻破的系統中，黑客竊取了包括用户名、密碼、哈希碼和令牌在內的登錄憑證。該人士同樣要求匿名討論敏感信息。

“這是一個高嚴重性、高緊迫性的威脅，”Palo Alto Networks Inc旗下Unit 42威脅情報部門首席技術官邁克爾·西科爾斯基表示。

“尤其令人擔憂的是SharePoint與微軟平台的深度集成，包括其Office、Teams、OneDrive和Outlook等服務，這些服務包含攻擊者覬覦的所有信息，”他説道，“一旦被攻破，影響不會侷限——它將為攻擊者打開通往整個網絡的大門。”

全球數以萬計（甚至數十萬）的企業和機構以不同方式使用SharePoint進行文檔存儲與協作。微軟表示，攻擊者專門針對那些在本地網絡運行SharePoint服務器的客户，而非由該公司託管管理的用户，這可能將影響範圍限制在部分客户羣體內。

“這對勒索軟件運營者來説是夢寐以求的，”密歇根州網絡安全公司Censys研究員西拉斯·卡特勒表示。他估計超過10,000家擁有SharePoint服務器的企業面臨風險，其中美國此類企業數量最多，其次是荷蘭、英國和加拿大。

在一系列重大安全事件後，此次漏洞事件使微軟的網絡安全強化措施再度受到嚴格審查。該公司已從美國政府等機構聘請高管，並每週與高層舉行會議以提升軟件防禦能力。近年來其技術多次遭遇大規模破壞性黑客攻擊，2024年美國政府報告指出該公司的安全文化亟需徹底改革。

觀看：黑客利用微軟常見軟件中的安全漏洞入侵了政府、企業及其他組織。羅莎琳德·馬西森為您解析事件詳情。

美國州和地方政府網絡安全信息共享系統運營方互聯網安全中心的安全運營與情報副總裁蘭迪·羅斯表示，已發現超過1,100台服務器存在SharePoint漏洞風險。羅斯稱其中逾百台可能已遭入侵。

Eye Security指出，這些漏洞使黑客能訪問SharePoint服務器並竊取密鑰，即使在服務器打補丁後仍可冒充用户或服務。該機構稱黑客可通過後門或經篡改的組件維持訪問權限，這些組件能在系統更新和重啓後持續存在。

名為"ToolShell"的SharePoint漏洞最初由柏林網絡安全會議研究人員於5月發現。7月初雖發佈了修復補丁，但黑客找到了新的入侵途徑。

Eye Security首席黑客兼聯合創始人維莎·伯納德表示：“補丁存在規避方法”，黑客可利用類似漏洞入侵SharePoint服務器，“這正是攻擊得逞的原因”。他稱這些入侵併非定向攻擊，而是以儘可能多的受害者為目標。

伯納德拒絕透露受害組織具體信息，但確認包括政府機構和私營企業，涉及"大型跨國公司"。受害者分佈於北美、南美、歐盟、南非及澳大利亞等多國。