- 19,420
- 40
- 8 Ноя 2022
Партнёрская сеть Microsoft под подозрением.
Microsoft признала, что Для просмотра ссылки Войдиили Зарегистрируйся безопасности не устранили все уязвимости в локальных версиях SharePoint, которые позволяют злоумышленникам удалённо исполнять код. В результате атаки продолжаются, и эксперты считают, что произошло несанкционированное распространение информации об эксплойте до выхода патча.
Загадка в том, как злоумышленники — включая китайских хакеров, кибершпионов и операторов программ-вымогателей — узнали, как использовать уязвимость так, чтобы обойти исправление, выпущенное уже на следующий день.
«Где-то произошла утечка», — Для просмотра ссылки Войдиили Зарегистрируйся в интервью The Register Дастин Чайлдс, руководитель отдела анализа угроз в Zero Day Initiative (ZDI) компании Trend Micro. — «Теперь в дикой среде используется эксплойт нулевого дня — и что ещё хуже, эксплойт, который обходит патч, вышедший на следующий день».
Началось всё в мае на сцене соревнования Pwn2Own в Берлине, которое ZDI проводит дважды в год. 16 мая вьетнамский исследователь Dinh Ho Anh Khoa продемонстрировал эксплойт для Microsoft SharePoint, объединив уязвимость обхода аутентификации с багом небезопасной десериализации. За это он получил $100 000. Однако демонстрация на сцене — это лишь часть процедуры. После выступления исследователь и представители компании уходят в отдельную комнату, где эксперт передаёт подробное техническое описание уязвимости и метода эксплуатации. Если баг уникален, разработчику предоставляется 90 дней на выпуск исправлений.
Microsoft получила полный отчёт об уязвимости в день презентации, утверждает Чайлдс. Тем не менее, массовая эксплуатация началась уже 7 июля, тогда как официальное раскрытие CVE произошло только 8 июля. Были Для просмотра ссылки Войдиили Зарегистрируйся две уязвимости: CVE-2025-49704 (удалённое выполнение кода без аутентификации) и CVE-2025-49706 (подмена данных). Обновления безопасности вышли одновременно, но уже после начала атак.
Сроки в целом соответствовали политике координированного раскрытия — 60 дней от момента передачи отчёта, — однако, по словам Чайлдса, утечка всё изменила: «что пошло не так — так это то, что произошла утечка».
Одно из возможных объяснений — компрометация программы Microsoft Active Protections Program (MAPP). Microsoft предоставляет партнёрам, подписавшим NDA, ранний доступ к информации о предстоящих патчах за 14 дней до выхода (так называемый r-14). В июле эта дата пришлась на 24 июня. Уже 7 июля начались атаки, а 8-го — вышли патчи, которые, как выяснилось позже, легко обходятся.
По словам Чайлдса, любой, кто получил данные о CVE в рамках MAPP, мог заметить, что исправление охватывает уязвимость недостаточно полно. Эксперты ZDI подтвердили, что обход аутентификации был реализован слишком узко.
18 июля компания Eye Security Для просмотра ссылки Войдиили Зарегистрируйся масштабных атак с использованием новой цепочки уязвимостей в SharePoint. Уже 19 июля Microsoft выпустила экстренное предупреждение о наличии нулевого дня в трёх версиях SharePoint и признала, что предыдущие патчи оказались неэффективны.
21 июля компания выпустила дополнительные обновления, Для просмотра ссылки Войдиили Зарегистрируйся . Но к тому моменту, по данным Microsoft, более 400 организаций были атакованы. За атаками стоят как минимум две китайские хак-группы — <em>Linen Typhoon</em> и <em>Violet Typhoon</em>, — а также Для просмотра ссылки Войди или Зарегистрируйся <em> Для просмотра ссылки Войди или Зарегистрируйся </em>, использовавшая уязвимости для Для просмотра ссылки Войди или Зарегистрируйся .
В Microsoft отказались отвечать на конкретные вопросы <em>The Register</em>, но заявили, что проанализируют инцидент и «внесут улучшения в процессы».
Инженер команды специальных операций Tenable Satnam Narang в разговоре с <em>The Register</em> предположил, что утечка могла и не быть единственным способом получить информацию об уязвимости. По его словам, Для просмотра ссылки Войдиили Зарегистрируйся смог с помощью модели Google Gemini воспроизвести эксплойт, а значит, теоретически атакующие могли сделать то же самое — используя LLM-модель вроде Gemini, Claude Opus или GPT-4o от OpenAI.
Однако, как признаёт сам Narang, «трудно сказать, какая именно цепочка событий позволила злоумышленникам использовать эти уязвимости в реальных атаках».
Microsoft при этом не опубликовала MAPP-инструкции по двум новым уязвимостям — Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , связанным с CVE-2025-49704 и CVE-2025-49706. По мнению Чайлдса, это может означать, что Microsoft временно прекратила доверять этой программе: «если бы я думал, что утечка произошла из MAPP, я бы тоже не делился через неё ничем».
Microsoft признала, что Для просмотра ссылки Войди
Загадка в том, как злоумышленники — включая китайских хакеров, кибершпионов и операторов программ-вымогателей — узнали, как использовать уязвимость так, чтобы обойти исправление, выпущенное уже на следующий день.
«Где-то произошла утечка», — Для просмотра ссылки Войди
Началось всё в мае на сцене соревнования Pwn2Own в Берлине, которое ZDI проводит дважды в год. 16 мая вьетнамский исследователь Dinh Ho Anh Khoa продемонстрировал эксплойт для Microsoft SharePoint, объединив уязвимость обхода аутентификации с багом небезопасной десериализации. За это он получил $100 000. Однако демонстрация на сцене — это лишь часть процедуры. После выступления исследователь и представители компании уходят в отдельную комнату, где эксперт передаёт подробное техническое описание уязвимости и метода эксплуатации. Если баг уникален, разработчику предоставляется 90 дней на выпуск исправлений.
Microsoft получила полный отчёт об уязвимости в день презентации, утверждает Чайлдс. Тем не менее, массовая эксплуатация началась уже 7 июля, тогда как официальное раскрытие CVE произошло только 8 июля. Были Для просмотра ссылки Войди
Сроки в целом соответствовали политике координированного раскрытия — 60 дней от момента передачи отчёта, — однако, по словам Чайлдса, утечка всё изменила: «что пошло не так — так это то, что произошла утечка».
Одно из возможных объяснений — компрометация программы Microsoft Active Protections Program (MAPP). Microsoft предоставляет партнёрам, подписавшим NDA, ранний доступ к информации о предстоящих патчах за 14 дней до выхода (так называемый r-14). В июле эта дата пришлась на 24 июня. Уже 7 июля начались атаки, а 8-го — вышли патчи, которые, как выяснилось позже, легко обходятся.
По словам Чайлдса, любой, кто получил данные о CVE в рамках MAPP, мог заметить, что исправление охватывает уязвимость недостаточно полно. Эксперты ZDI подтвердили, что обход аутентификации был реализован слишком узко.
18 июля компания Eye Security Для просмотра ссылки Войди
21 июля компания выпустила дополнительные обновления, Для просмотра ссылки Войди
В Microsoft отказались отвечать на конкретные вопросы <em>The Register</em>, но заявили, что проанализируют инцидент и «внесут улучшения в процессы».
Инженер команды специальных операций Tenable Satnam Narang в разговоре с <em>The Register</em> предположил, что утечка могла и не быть единственным способом получить информацию об уязвимости. По его словам, Для просмотра ссылки Войди
Однако, как признаёт сам Narang, «трудно сказать, какая именно цепочка событий позволила злоумышленникам использовать эти уязвимости в реальных атаках».
Microsoft при этом не опубликовала MAPP-инструкции по двум новым уязвимостям — Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
