Microsoft MAPP rendszer vizsgálata
A Bloomberg jelentése szerint a Microsoft jelenleg belső vizsgálatot folytat annak tisztázására, hogy a vállalat kiberbiztonsági partnereknek szóló előzetes riasztási rendszere, a Microsoft Active Protections Program (MAPP) révén nem szivárogtak-e ki információk, amelyeket kínai állami hackerek használtak fel a SharePoint szolgáltatás elleni támadások során. A gyanú szerint a zárt körben megosztott, még nem publikált biztonsági hibákhoz való hozzáférés vezethetett ahhoz, hogy a kínai kormány által támogatott Linen Typhoon, Violet Typhoon és Storm-2603 nevű csoportok tömeges támadásokat indíthattak a Microsoft infrastruktúrája ellen, még mielőtt a hivatalos javítások megjelentek volna. A támadások több mint 400 célpontot érintettek világszerte, köztük amerikai kormányzati intézményeket, például a nukleáris fegyverekért felelős National Nuclear Security Administration-t.
A MAPP programban jelenleg is szerepel legalább egy tucat kínai cég, amelyek vállalták, hogy nem fejlesztenek támadóeszközöket, és betartják a titoktartási szerződéseket. A program célja, hogy partnerek időben megkapják a javítás előtt álló sérülékenységek leírását, így felkészülhetnek a biztonsági rések lezárására. A Microsoft elismerte, hogy ezek az előzetes értesítések két szinten történnek, a legtöbb partner 24 órával a nyilvános javítás előtt kapja meg az információt, míg egy kisebb, kiemelten ellenőrzött kör akár öt nappal korábban.
Az ETH Zürich CSS tanulmánya szerint Kína elit civil hackerei hatékony iparági szereplőkké nőtték ki magukat bug bounty és sebezhetőség-felfedezési programokon keresztül – 2017 és 2020 között a nyugati vállalatok (Apple, Google, Microsoft) kódjaira jelentett hibákat 27 %-át kínai kutatók tártak fel. Ezekkel az eredményekkel a kínai kutatók támogatják a katonai hírszerzést zero-day arzenálhoz – a törvényes fegyverzettel váltak a privát és állami szférában egyaránt.
A gyanú erősödését fokozza, hogy a SharePoint sebezhetőségeit egy vietnámi kutató, Dinh Ho Anh Khoa mutatta be májusban a Pwn2Own biztonsági konferencián. Ezt követően a kutató részletesen átadta az exploit dokumentációját a Microsoft szakértőinek, akik 60 nap alatt készítették el a javítást. A frissítést július 8-án tették elérhetővé, ugyanazon a napon, amikor a támadók elkezdték kihasználni a sebezhetőséget. Bár elméletileg lehetséges, hogy a támadók saját maguk fedezték fel a hibát, a Microsoft partnerei szerint ez túlságosan egybeesik azzal az időponttal, amikor a MAPP-tagok megkapták az információt.
Nem ez lenne az első eset, amikor a MAPP-ból szivárog információ. Már 2012-ben kizárták a programból a kínai Hangzhou DPtech Technologies céget, miután egy Windows-sérülékenység idő előtti nyilvánosságra kerülése hozzájuk volt köthető. 2021-ben pedig legalább két másik kínai partner szerepelt gyanúban, miután az Exchange-szerverek elleni globális hackerkampány – amelyet a Hafnium nevű, kínai állami szereplőnek tulajdonítottak – az előzetesen megosztott információkra épülhetett.
Különösen problémás, hogy a kínai jogszabályok értelmében a biztonsági kutatók és cégek kötelesek 48 órán belül jelenteni az általuk talált sebezhetőségeket az ipari minisztériumnak, és sok MAPP-tag – például a Beijing CyberKunlun – egyben a kínai kormányzati sebezhetőség-adatbázis, a China National Vulnerability Database résztvevője is. Egyes kutatók, például Eugenio Benincasa, arra hívják fel a figyelmet, hogy ezek a cégek gyakran kettős lojalitással működnek: egyszerre kötelesek betartani a Microsoft által előírt titoktartást és a kínai állam által elvárt jelentési kötelezettségeket. Ez a rendszer átláthatatlan, és jelentős biztonsági kockázatot jelenthet a globális kiberbiztonság szempontjából.
