Microsoft hat eine jahrzehntelange Politik der Verwendung von Ingenieuren in China für sensible Pentagon-Cloud-Systeme nach Entlassung der Praxis rückgängig gemacht. Neue Berichte zeigen jedoch, dass das Unternehmen den vollen Umfang dieser Hochrisikovereinbarung nicht offenbarte. (Dod) nach einem ProPublica-Untersuchung . Die Kontroverse ist seitdem eskaliert und die Praxis mit einem großen Software-Hack verbindet. In einem an das Pentagon eingereichten Februar 2025 „Systemsicherheitsplan“ beschrieb eine vage”Escorted Access”-Richtlinie für”nicht gescresendes Personal”gemäß A . die Vereinigten Staaten. Diese absichtliche Auslassung und Schrägheit bei der Offenlegung trug wahrscheinlich zur Akzeptanz einer Praxis durch die Regierung bei, wie die Aufzeichnungen zeigen. Der ehemalige DOD-Chief Information Officer John Sherman, der sagte, er sei sich zuvor des Programms nicht bewusst, gab zu:”Ich hätte wahrscheinlich darüber wissen sollen.”Seine Reaktion wurde von anderen Beamten wiederholt, die von der krassen Verwundbarkeit schockiert waren. Er fügte hinzu, dass eine solche Frage”diese verrückte Praxis von”digitalen Escorts”ausgelöst hätte und dass”das Unternehmen zugeben muss, dass dies falsch war, und sich dafür zu verpflichten, keine Dinge zu tun, die keinen gesunden Menschenverstand bestehen”. Die Defense Information Systems Agency (DISA), die IT-Agentur der DOD, überprüfte und akzeptierte den Sicherheitsplan von Microsoft. Ein DISA-Sprecher sagte der Propublica zunächst: „Im wahrsten Sinne des Wortes scheint niemand etwas darüber zu wissen“ und hervorhebt, wie tief die Praxis begraben wurde. Sowohl Fedramp als auch der DOD verlassen sich auf „Bewertungsorganisationen Dritter“ an Vet-Anbieter. Diese unabhängigen Wirtschaftsprüfer werden jedoch von dem Unternehmen, das bewertet wird, eingestellt und direkt bezahlt. Microsoft zum Beispiel engagierte ein Unternehmen namens Kratos mit der Verwaltung seiner Bewertungen. target=”_ leer”> Restaurant, die für seinen eigenen Gesundheitsinspektor bezahlen . Ein ehemaliger Microsoft-Mitarbeiter, der mit dem Prozess vertraut ist, beschrieb es als”Leitfaden des Zeugen”und erklärte:”Sie zahlen für das gewünschte Ergebnis.”Diese Kombination aus vage Offenlegung und ausgelagerter Aufsicht ermöglichte es der riskanten Praxis jahrelang bestehen. Der US-Verteidigungsminister Pete Hegseth hat auf X gepostet, dass die Praxis völlig inakzeptabel war und in einem Post auf X bestätigte Shaw: „Microsoft hat Änderungen an unseren Unterstützung für US-Regierungskunden vorgenommen. Escort-Programm war kein isolierter Vorfall für das Unternehmen. Es fügte ein beunruhigendes Muster von Sicherheitslücken hinzu, die Microsoft geplagt und das Vertrauen in Washington erodiert haben. Die schnelle Verurteilung folgte einem vor dem Kongress aussagt , der sich intensiv über diese Fehler über diese Fehler befasst. Die jüngste Offenbarung verstärkte nur den bestehenden politischen Druck und zwang die Hand des Unternehmens. target=”_ leer”> ProPublica-Bericht im August enthüllte, dass die Verwendung chinesischer Ingenieure nicht auf die Cloud-Infrastruktur beschränkt war. Ein in China ansässiges Team war auch direkt für die Aufrechterhaltung und Behebung von Fehler in Microsofts lokaler SharePoint-Software verantwortlich, wie von Winbuzzer berichtet. Der Exploit hat über 400 Organisationen gefährdet, einschließlich Teilen des US-amerikanischen Heimatschutzministeriums. Als Reaktion darauf bestätigte Microsoft die Praxis und erklärte: „Die Arbeiten sind bereits im Gange, um diese Arbeit an einen anderen Ort zu verschieben“ und spiegelte die Reaktion auf die Kontroverse der Pentagon-Cloud wider. Die Cybersecurity Firma Eye Security, die die Kampagne erstmals feststellte, warnte, dass dies die Sanierung schwierig machte und feststellte, dass”das Patching allein das Problem nicht löst”. Die US-amerikanische CISA unterstrich die Gefahr und erklärte, der Exploit bietet „nicht authentifizierten Zugriff auf Systeme und ermöglicht es böswilligen Akteuren, vollständig auf SharePoint-Inhalte zuzugreifen.“
Der Ursprung des Exploits ist sehr umstritten. Sicherheitsexperten glauben, dass die Angreifer einen Vorsprung von einem Insider-Leck erhalten haben, nicht nur von cleverem Hacking. Die Beweise zeigen, dass die Ausbeutung am 7. Juli begann, einen ganzen Tag bevor Microsoft seinen offiziellen Patch veröffentlichte. Dies hat die Forscher dazu veranlasst, zu spekulieren, dass Details aus dem Microsoft Active Protection Program (MAPP) ausgeliefert wurden, das Sicherheitsanbieter vor der Veröffentlichung Patch-Informationen enthält. Patch…”Die Spekulation neigte ein erhebliches Gewicht, wenn “>”>”>”>”>”>”Möglichkeiten. Die chinesische Regierung hat die Vorwürfe fest bestritten. David Mihelcic, ein ehemaliger CTO bei DISA, bewertete die Gefahr des zugrunde liegenden Escort-Programms unverblümt:”Hier haben Sie eine Person, die Sie wirklich nicht vertrauen, weil sie sich wahrscheinlich im chinesischen Geheimdienstdienst befinden, und die andere Person ist nicht wirklich in der Lage.”Für extrem wertvolle Zugang müssen wir sehr besorgt sein.”Die Episode ist ein beunruhigendes Beispiel dafür, wie kostensparende Maßnahmen, die auf missionskritische Systeme angewendet werden, ein katastrophales Risiko einführen können.