微软形同虚设的安全补丁 让中国黑客再度得手
来源:倍可亲(backchina.com)去年,萨提亚·纳德拉(Satya Nadella)承诺将安全作为微软(Microsoft)的第一要务。而一起涉及中国的新黑客攻击事件表明,要做到这一点有多么困难。
此次攻击涉及微软SharePoint软件的多个版本,该软件为不愿使用云服务的客户提供文档存储平台。据安全研究人员称,微软本月早些时候针对SharePoint的两个漏洞发布了补丁,但这些修复程序很快被绕过,导致与中国有关的黑客侵入了数百个机构。
研究人员表示,这些有缺陷的补丁非但没有保护客户,反而可能为黑客提供了磨练攻击手法的路线图。
这是这家科技巨头一系列疏漏中的最新一起,这些疏漏让中国庞大而全球化的网络间谍活动从中受益,这些活动是美国的一大国家安全威胁。
去年,美国国土安全部发布了一份措辞严厉的报告,详细描述了微软在2023年一次黑客攻击事件中的失误,在该事件中,中国窃取了数千封美国高级政府官员的电子邮件。在那之前的两年,与中国有关的网络攻击者攻破了超过25万台微软Exchange服务器。
“他们规模太大了,不能再这样接连失败了”,前美国网络安全高官杰夫·格林(Jeff Greene)说,他参与撰写了去年那份严厉批评微软失误的报告。“虽然我对微软在我们的报告发布后开始重视安全问题的态度表示赞赏,但他们需要做得更好——并向公众展示他们是如何做得更好的。”
为回应去年的报告,纳德拉承诺微软将重新致力于保护其产品和客户免受不良行为者的侵害,他将此称为安全未来倡议(Secure Future Initiative)。
“安全未来”
“作为我们‘安全未来倡议’的一部分,我们致力于持续改进安全响应和修复工作”,微软副首席信息安全官安·约翰逊(Ann Johnson)说。她指出,公司在得知攻击事件的72小时内就发布了针对这些漏洞的新修复程序,直接联系了客户,并就这一问题发布了两篇博客文章。
“我们从客户那里收到的反馈基本上是积极的”,她说。
多年来,微软一直面临严峻的安全挑战,其中许多挑战都围绕着其为运行自有服务器的客户提供的软件和产品。纳德拉上任后不久,微软就裁撤了在全公司范围内负责微软安全工作的团队,将安全决策权下放给各个业务部门。
大约在同一时间,微软改变了软件开发方式,裁掉了许多负责在产品交付给客户前发现漏洞的测试工程师。
前员工和安全研究人员表示,这些举措使微软变得更加灵活,更能与对手在云计算和人工智能(AI)领域展开竞争,但也付出了代价,尤其是对SharePoint等产品的非云用户而言。
400台服务器遭黑客攻击
截至周三,研究人员称已有逾400台SharePoint服务器遭到黑客攻击,其中许多属于政府实体;微软已将一部分攻击与中国政府联系起来。中国一名外交部发言人称这些指控是抹黑。
SharePoint事件引发了对微软的新一轮批评,微软一直试图平息美国的一种担忧,即该公司未能优先考虑网络安全,而是专注于扩大人工智能(AI)业务和实现利润最大化。
“政府机构已开始依赖的一家公司不仅不关心安全问题,还正通过销售用以解决自家产品漏洞的高级网络安全服务大赚特赚,”国会中的一位主要网络安全倡导者、俄勒冈州民主党籍联邦参议员罗恩·怀登(Ron Wyden)说。“政府永远无法摆脱这个循环,除非停止用一份份越来越大的合同来奖励微软的疏忽。”
在以往的一些事件中,例如2021年微软Exchange电子邮件系统遭遇的大规模遭黑客攻击,中方曾在被发现前展现令人印象深刻的技术实力。然而,在SharePoint所受攻击中,问题的源头可追溯至5月在柏林举行的一场黑客竞赛,当时越南研究人员丁·科亚(Dinh Khoa)赢得了10万美元和一台笔记本电脑。
“这是一个非常难攻克的目标,所以我们花了很多时间深入研究,”科亚在赛后发布到网上的一段采访中说。
他在观众的掌声中展示了如何攻破一个SharePoint系统,并很快被带到一个单间,向微软的一名代表和网络安全公司趋势科技(Trend Micro)旗下零日计划(Zero Day Initiative)的威胁感知负责人达斯汀·查尔兹(Dustin Childs)解释了这些漏洞。两个月后,也就是7月8日,微软修复了相关漏洞。它们是微软当月修复的130个漏洞中的两个。
尽管就在两个月前,这两个漏洞刚被人当着约50名观众的面组合起来用以攻击一台SharePoint服务器,但微软方面却表示,其中一个漏洞被用于实际攻击的可能性“未经证实”。
“一个现成可用的攻击工具”
查尔兹表示,他觉得微软的説法有些耐人寻味。“我们当时可是给出了一个现成可用的攻击工具,”他说。
微软和趋势科技后来都表示,黑客实际上在7月7日,也就是补丁发布的前一天,就已经开始利用这些漏洞。查尔兹说,目前尚不清楚涉事黑客是如何得知这些漏洞的。趋势科技表示,在其观察到的攻击中,有一家科技公司遭到了入侵,但未透露该科技公司的名称。
在微软发布补丁后的几天里,安全研究人员对补丁进行了检查,以更多地了解丁·科亚的黑客攻击是如何运作的。微软公司称,7月9日,微软得知其补丁可以被绕过,公司开始准备新的修复程序。不到一周,研究人员也公开声称找到了绕过补丁的方法。上周五,一名安全研究员公开展示了如何做到这一点。他说,他是在谷歌(Google)的Gemini人工智能(AI)技术的帮助下发现这一方法的。
“那篇帖子让更多的人也能做到这一点,”网络安全公司Eye Security的首席技术官皮特·克尔霍夫斯(Piet Kerkhofs)说。
就在同一个周五,Eye Security的研究人员在他们一个客户的SharePoint服务器上发现了一个未经授权的脚本。随着Eye Security团队深入调查,他们开始在互联网上约150台其他SharePoint服务器上发现了相同的脚本。
后门
该脚本为SharePoint服务器打开了一个后门,创建了一个加密密钥,该密钥之后可用于在该机器上运行命令。“这就像一把被遗忘在街上的门钥匙,”克尔霍夫斯说。“每个人都可以拿到。我们只是开始扫描,然后就拿到了所有的钥匙。”
现在情况很清楚了:黑客正在入侵世界各地的SharePoint。
微软在得知黑客正在利用这些漏洞后,召集了其安全团队。他们整个周末都在工作,赶着发布一套新的补丁。
到当天晚上,克尔霍夫斯的团队已经发现了80个受感染的机构。欧洲的政府机构、美国的联邦机构、市政当局和大学都遭到了入侵。
微软公司表示,上周六,微软采取了不同寻常的举措,发布了两个紧急补丁,其中包含针对科亚发现的漏洞的“更强大的保护措施”。微软表示,SharePoint客户还应该更换其服务器使用的加密密钥,此举与新补丁相结合,能有效地关闭攻击所造成的后门。
微软表示,部分攻击发生在未打补丁的机器上。该公司副首席信息安全官约翰逊表示,她不认为7月8日的补丁是失败的,因为它们阻止了在柏林黑客大赛Pwn2Own上演示的攻击。
周三,美国能源部证实自己是受害者之一,但表示此后已恢复其系统,未发现有任何机密或敏感信息被泄露。早些时候彭博(Bloomberg)报道了此次入侵事件,该报道称美国国家核安全局(National Nuclear Security Administration)是明确的受害者。
