微軟限制對中國企業網絡安全漏洞的早期通知——彭博社
Ryan Gallagher
北京微軟公司辦公室標識。
攝影師:彭博社微軟公司在調查漏洞泄露是否導致其SharePoint軟件遭黑客利用後,已限制中國企業獲取其技術網絡安全漏洞的提前通知。
微軟發言人David Cuddy表示,上個月實施的這一變更將限制"需要向政府報告漏洞的國家"(包括中國)的項目參與者訪問權限。微軟主動保護計劃(MAPP)旨在為全球安全軟件公司提供微軟產品漏洞的早期詳細信息,以便它們能更快為客户提供更新保護。
微軟此次公告前,發生了一系列網絡攻擊事件。微軟歸咎於中國國家支持的黑客針對SharePoint服務器安全漏洞發起攻擊。超過400家政府機構和企業在此次SharePoint攻擊中遭入侵,包括美國國家核安全管理局——該機構負責設計和維護美國核武器。
目前尚不清楚所謂的中國黑客是如何發現SharePoint中的漏洞的。然而,據彭博新聞社此前報道,在攻擊事件發生後,微軟已調查有關漏洞的細節是否可能從其MAPP合作伙伴處泄露。
閲讀更多:微軟調查網絡警報是否向中國黑客通風報信
現在,微軟將不再向受此變更影響的MAPP參與者提供展示漏洞的“概念驗證”代碼。該公司發言人表示,取而代之的是,微軟將向他們提供漏洞的“更通用的書面描述”,這些描述將與修復漏洞的補丁同時發佈。
“我們意識到這可能被濫用,這就是為什麼我們採取已知和保密的措施來防止濫用,”卡迪説。“我們持續審查參與者,如果發現他們違反了與我們的合同,包括禁止參與攻擊性攻擊,我們將暫停或移除他們。”
卡迪沒有對微軟調查SharePoint黑客攻擊潛在泄露事件的結果發表評論,但表示“關於原因有多種正在研究的理論”。
中國駐華盛頓大使館的一位發言人在一份聲明中表示,他們對微軟的變更或MAPP計劃中疑似泄露的細節不熟悉。但他們補充説,網絡安全是各國面臨的“共同挑戰”,應通過對話與合作共同解決。
MAPP小組中至少有十幾家中國科技和網絡安全公司,據微軟稱。這些成員此前能在微軟向公眾發佈安全漏洞補丁前至少24小時獲得相關信息。
對中國參與者的擔憂部分源於2021年的一項法律,該法律要求任何發現網絡安全漏洞的公司或安全研究人員必須在48小時內向中國工業和信息化部報告。此外,早在2012年,MAPP就曾涉嫌泄露信息,當時微軟指控中國網絡安全公司杭州迪普科技有限公司違反保密協議,披露了暴露Windows重大漏洞的信息。
更近的是在2021年,微軟懷疑至少另外兩家中國MAPP合作伙伴泄露了其Exchange服務器漏洞的信息,導致了一場全球性的黑客攻擊活動,微軟將此歸咎於一個名為Hafnium的中國間諜組織。
美國網絡安全公司SentinelOne專注於中國事務的顧問達科塔·卡里表示,微軟決定限制中國公司獲取網絡安全漏洞信息是一個“極好的改變”。
“很明顯,MAPP中的中國企業必須響應政府的激勵措施,”凱里説。“因此,限制提供的信息是有道理的。”
微軟還首次確認,它已經關閉了之前在中國設立的“透明中心”,中國政府可以在那裏審查該公司技術的源代碼,以確認其沒有可用於數字監控的隱藏“後門”。卡迪表示,中國的此類設施“早已退役”,並且“自2019年以來,沒有人訪問過中國的此類設施”。
這家科技巨頭至少從2003年起就允許在中國訪問其源代碼,當時該公司宣佈它是“第一家向中國政府提供源代碼訪問權限的商業軟件公司”,這樣做是為了讓當局對Windows平台的安全性有信心。