微軟形同虛設的安全補丁 讓中國黑客再度得手
來源:倍可親(backchina.com)去年,薩提亞·納德拉(Satya Nadella)承諾將安全作為微軟(Microsoft)的第一要務。而一起涉及中國的新黑客攻擊事件表明,要做到這一點有多麼困難。
此次攻擊涉及微軟SharePoint軟體的多個版本,該軟體為不願使用雲服務的客戶提供文檔存儲平台。據安全研究人員稱,微軟本月早些時候針對SharePoint的兩個漏洞發布了補丁,但這些修復程序很快被繞過,導致與中國有關的黑客侵入了數百個機構。
研究人員表示,這些有缺陷的補丁非但沒有保護客戶,反而可能為黑客提供了磨練攻擊手法的路線圖。
這是這家科技巨頭一系列疏漏中的最新一起,這些疏漏讓中國龐大而全球化的網路間諜活動從中受益,這些活動是美國的一大國家安全威脅。
去年,美國國土安全部發布了一份措辭嚴厲的報告,詳細描述了微軟在2023年一次黑客攻擊事件中的失誤,在該事件中,中國竊取了數千封美國高級政府官員的電子郵件。在那之前的兩年,與中國有關的網路攻擊者攻破了超過25萬台微軟Exchange伺服器。
「他們規模太大了,不能再這樣接連失敗了」,前美國網路安全高官傑夫·格林(Jeff Greene)說,他參與撰寫了去年那份嚴厲批評微軟失誤的報告。「雖然我對微軟在我們的報告發布后開始重視安全問題的態度表示讚賞,但他們需要做得更好——並向公眾展示他們是如何做得更好的。」
為回應去年的報告,納德拉承諾微軟將重新致力於保護其產品和客戶免受不良行為者的侵害,他將此稱為安全未來倡議(Secure Future Initiative)。
「安全未來」
「作為我們『安全未來倡議』的一部分,我們致力於持續改進安全響應和修復工作」,微軟副首席信息安全官安·約翰遜(Ann Johnson)說。她指出,公司在得知攻擊事件的72小時內就發布了針對這些漏洞的新修復程序,直接聯繫了客戶,並就這一問題發布了兩篇博客文章。
「我們從客戶那裡收到的反饋基本上是積極的」,她說。
多年來,微軟一直面臨嚴峻的安全挑戰,其中許多挑戰都圍繞著其為運行自有伺服器的客戶提供的軟體和產品。納德拉上任后不久,微軟就裁撤了在全公司範圍內負責微軟安全工作的團隊,將安全決策權下放給各個業務部門。
大約在同一時間,微軟改變了軟體開發方式,裁掉了許多負責在產品交付給客戶前發現漏洞的測試工程師。
前員工和安全研究人員表示,這些舉措使微軟變得更加靈活,更能與對手在雲計算和人工智慧(AI)領域展開競爭,但也付出了代價,尤其是對SharePoint等產品的非雲用戶而言。
400台伺服器遭黑客攻擊
截至周三,研究人員稱已有逾400台SharePoint伺服器遭到黑客攻擊,其中許多屬於政府實體;微軟已將一部分攻擊與中國政府聯繫起來。中國一名外交部發言人稱這些指控是抹黑。
SharePoint事件引發了對微軟的新一輪批評,微軟一直試圖平息美國的一種擔憂,即該公司未能優先考慮網路安全,而是專註於擴大人工智慧(AI)業務和實現利潤最大化。
「政府機構已開始依賴的一家公司不僅不關心安全問題,還正通過銷售用以解決自家產品漏洞的高級網路安全服務大賺特賺,」國會中的一位主要網路安全倡導者、俄勒岡州民主黨籍聯邦參議員羅恩·懷登(Ron Wyden)說。「政府永遠無法擺脫這個循環,除非停止用一份份越來越大的合同來獎勵微軟的疏忽。」
在以往的一些事件中,例如2021年微軟Exchange電子郵件系統遭遇的大規模遭黑客攻擊,中方曾在被發現前展現令人印象深刻的技術實力。然而,在SharePoint所受攻擊中,問題的源頭可追溯至5月在柏林舉行的一場黑客競賽,當時越南研究人員丁·科亞(Dinh Khoa)贏得了10萬美元和一台筆記本電腦。
「這是一個非常難攻克的目標,所以我們花了很多時間深入研究,」科亞在賽后發布到網上的一段採訪中說。
他在觀眾的掌聲中展示了如何攻破一個SharePoint系統,並很快被帶到一個單間,向微軟的一名代表和網路安全公司趨勢科技(Trend Micro)旗下零日計劃(Zero Day Initiative)的威脅感知負責人達斯汀·查爾茲(Dustin Childs)解釋了這些漏洞。兩個月後,也就是7月8日,微軟修復了相關漏洞。它們是微軟當月修復的130個漏洞中的兩個。
儘管就在兩個月前,這兩個漏洞剛被人當著約50名觀眾的面組合起來用以攻擊一台SharePoint伺服器,但微軟方面卻表示,其中一個漏洞被用於實際攻擊的可能性「未經證實」。
「一個現成可用的攻擊工具」
查爾茲表示,他覺得微軟的説法有些耐人尋味。「我們當時可是給出了一個現成可用的攻擊工具,」他說。
微軟和趨勢科技後來都表示,黑客實際上在7月7日,也就是補丁發布的前一天,就已經開始利用這些漏洞。查爾茲說,目前尚不清楚涉事黑客是如何得知這些漏洞的。趨勢科技表示,在其觀察到的攻擊中,有一家科技公司遭到了入侵,但未透露該科技公司的名稱。
在微軟發布補丁后的幾天里,安全研究人員對補丁進行了檢查,以更多地了解丁·科亞的黑客攻擊是如何運作的。微軟公司稱,7月9日,微軟得知其補丁可以被繞過,公司開始準備新的修復程序。不到一周,研究人員也公開聲稱找到了繞過補丁的方法。上周五,一名安全研究員公開展示了如何做到這一點。他說,他是在谷歌(Google)的Gemini人工智慧(AI)技術的幫助下發現這一方法的。
「那篇帖子讓更多的人也能做到這一點,」網路安全公司Eye Security的首席技術官皮特·克爾霍夫斯(Piet Kerkhofs)說。
就在同一個周五,Eye Security的研究人員在他們一個客戶的SharePoint伺服器上發現了一個未經授權的腳本。隨著Eye Security團隊深入調查,他們開始在網際網路上約150台其他SharePoint伺服器上發現了相同的腳本。
後門
該腳本為SharePoint伺服器打開了一個後門,創建了一個加密密鑰,該密鑰之後可用於在該機器上運行命令。「這就像一把被遺忘在街上的門鑰匙,」克爾霍夫斯說。「每個人都可以拿到。我們只是開始掃描,然後就拿到了所有的鑰匙。」
現在情況很清楚了:黑客正在入侵世界各地的SharePoint。
微軟在得知黑客正在利用這些漏洞后,召集了其安全團隊。他們整個周末都在工作,趕著發布一套新的補丁。
到當天晚上,克爾霍夫斯的團隊已經發現了80個受感染的機構。歐洲的政府機構、美國的聯邦機構、市政當局和大學都遭到了入侵。
微軟公司表示,上周六,微軟採取了不同尋常的舉措,發布了兩個緊急補丁,其中包含針對科亞發現的漏洞的「更強大的保護措施」。微軟表示,SharePoint客戶還應該更換其伺服器使用的加密密鑰,此舉與新補丁相結合,能有效地關閉攻擊所造成的後門。
微軟表示,部分攻擊發生在未打補丁的機器上。該公司副首席信息安全官約翰遜表示,她不認為7月8日的補丁是失敗的,因為它們阻止了在柏林黑客大賽Pwn2Own上演示的攻擊。
周三,美國能源部證實自己是受害者之一,但表示此後已恢復其系統,未發現有任何機密或敏感信息被泄露。早些時候彭博(Bloomberg)報道了此次入侵事件,該報道稱美國國家核安全局(National Nuclear Security Administration)是明確的受害者。