Μια εκπληκτική έκθεση ProPublica αποκαλύπτει ότι η Microsoft χρησιμοποιεί μια ομάδα μηχανικών με έδρα την Κίνα για να διατηρήσει το λογισμικό της SharePoint-την ίδια πλατφόρμα που εκμεταλλεύτηκε πρόσφατα σε μια παγκόσμια εκστρατεία hacking που αποδίδεται στους κινεζικούς κρατικούς ηθοποιούς. Αυτή η αποκάλυψη εγείρει επείγουσες ερωτήσεις εθνικής ασφάλειας.
Τα νέα συνδέονται απευθείας με το ελάττωμα μηδενικής ημέρας”Toolshell”(CVE-2025-53770), το οποίο έχει θέσει σε κίνδυνο πάνω από 400 οργανισμούς. Τα θύματα υψηλού προφίλ περιλαμβάνουν το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ και την Εθνική Υπηρεσία Πυρηνικής Ασφάλειας. Η χρήση του κινεζικού προσωπικού για την υποστήριξη συστημάτων που χρησιμοποιούνται από ευαίσθητους αμερικανικούς οργανισμούς έχει ανησυχήσει τους εμπειρογνώμονες ασφαλείας, ειδικά δεδομένης της εξάρτησης της κυβέρνησης από το λογισμικό. Ο κώδικας εκμετάλλευσης SharePoint
Η διερεύνηση propublica αποκαλύπτει το stretling.”Onprem”-η συγκεκριμένη έκδοση του λογισμικού που απευθύνεται στις εκτεταμένες επιθέσεις. Αυτή η αποκάλυψη δεν συνέβη σε κενό. Ακολουθεί μια προηγούμενη αναφορά που περιγράφει λεπτομερώς τη χρήση της Microsoft από μια λύση υψηλού κινδύνου, γνωστή ως”ψηφιακές συνοδείες”σε ευαίσθητα σε κυβερνητικά συστήματα. Για να εξισορροπήσει τη συμμόρφωση με το κόστος του παγκόσμιου εργατικού δυναμικού της, η Microsoft δημιούργησε ένα μοντέλο όπου οι υπηκοωτές πολίτες των ΗΠΑ, κάποιοι που καταβάλλονται σε μόλις 18 δολάρια την ώρα, θα εποπτεύουν ελίτ ξένοι μηχανικοί. Η Microsoft εξέδωσε δήλωση που αναγνωρίζει την πρακτική, διευκρινίζοντας:”Η ομάδα με έδρα την Κίνα εποπτεύεται από έναν μηχανικό με έδρα τις ΗΠΑ και υπόκειται σε όλες τις απαιτήσεις ασφαλείας και την αναθεώρηση του κώδικα διαχειριστή. href=”https://www.securityweek.com/microsoft-halts-use-of-china-engineers-for-pentagon-cloud/”target=”_ blank”> Πρώην αξιωματούχοι της εθνικής ασφάλειας που το θεωρούν ως καταστροφική αποτυχία της διαχείρισης κινδύνων. Ο David Mihelcic, πρώην επικεφαλής της τεχνολογίας του Οργανισμού Πληροφοριακών Συστημάτων Άμυνας (DISA), αξιολόγησε το θεμελιώδες ελάττωμα στη ρύθμιση:”Εδώ έχετε ένα άτομο που πραγματικά δεν εμπιστεύεστε επειδή είναι πιθανώς στην κινεζική υπηρεσία πληροφοριών και ο άλλος δεν είναι πραγματικά ικανός”. Ο Harry Coker, πρώην ανώτερος διευθυντής τόσο στη CIA όσο και στην NSA, προειδοποίησε:”Αν ήμουν χειριστής, θα το έβλεπα ως μια λεωφόρος για εξαιρετικά πολύτιμη πρόσβαση. Οι επιτιθέμενοι κέρδισαν ένα κρίσιμο ξεκίνημα από μια διαρροή εμπιστευτικών πληροφοριών, όχι μόνο έξυπνη πειρατεία. Το χρονοδιάγραμμα των γεγονότων είναι βαθιά ύποπτο για τους εμπειρογνώμονες ασφαλείας. Ξεκίνησε με υπεύθυνη αποκάλυψη στον διαγωνισμό PWN2OWN τον Μάιο, αλλά τα αποδεικτικά στοιχεία δείχνουν ότι η εκμετάλλευση της νέας μηδενικής ημέρας ξεκίνησε στην άγρια φύση στις 7 Ιουλίου, μια ολόκληρη μέρα πριν από την Microsoft κυκλοφόρησε το επίσημο έμπλαστρο στις 8 Ιουλίου για να διορθώσει το αρχικά αναφερόμενο ελάττωμα. Η Dustin Childs of Trend Micro’s Zero Day Πρωτοβουλία, ένας οργανισμός που έχει κεντρική θέση στο οικοσύστημα αποκάλυψης ευπάθειας, υποστηρίζει ότι το χρονοδιάγραμμα είναι καταδικαστικά στοιχεία. Είπε στο Μητρώο:”Μια διαρροή που συνέβη εδώ κάπου και τώρα έχετε εκμεταλλεύονται μηδενικές ημέρες στην άγρια φύση και χειρότερα από αυτό, έχετε εκμεταλλευτεί μηδενική ημέρα στην άγρια φύση που παρακάμπτει το patch…”Η θεωρία υποδηλώνει ότι οι ευαίσθητες λεπτομέρειες διαρρέουν από το πρόγραμμα ενεργών προστασίας της Microsoft (MAPP). Το πρόγραμμα αυτό έχει σχεδιαστεί για να παρέχει αξιόπιστους προμηθευτές ασφαλείας πριν από την απελευθέρωση των πληροφοριών για να τους βοηθήσει να προετοιμάσουν τις άμυνες των πελατών. Σύμφωνα με τον Childs, αυτή η προειδοποίηση θα μπορούσε να παραχωρηθεί, δίνοντας στους επιτιθέμενους ένα ακριβές σχέδιο. Ισχυρίστηκε ότι οποιοσδήποτε με αυτά τα δεδομένα”θα είναι σε θέση να πει ότι αυτός είναι ένας εύκολος τρόπος για να το περάσετε”, επιτρέποντάς τους να προληφθούν προληπτικά μια λύση πριν το επίσημο έμπλαστρο ήταν ακόμη δημόσιο. Ο Satnam Narang της Tenable Research σημείωσε ότι δεν είναι αδύνατο για τους επιτιθέμενους να έχουν βρει το ελάττωμα από μόνα τους. Από την πλευρά της, η Microsoft παρέμεινε σφιχτά στη διαρροή κερδοσκοπίας, παρέχοντας μόνο μια γενική δήλωση ότι”ως μέρος της τυποποιημένης διαδικασίας μας, θα αναθεωρήσουμε αυτό το περιστατικό, θα βρούμε περιοχές για να βελτιώσουμε και να εφαρμόσουμε αυτές τις βελτιώσεις σε γενικές γραμμές”. href=”https://www.bloomberg.com/news/articles/2025-07-25/microsoft-sarepoint-hack-probe-on-on-on-y whether-chinese-hackers-found-flaw-via-alert”target=”_ blank”. Ο ανιχνευτής επικεντρώνεται στο αν η ίδια η προειδοποίηση MAPP ακούσια αναστέλλει τους χάκερς, μετατρέποντας ένα πρόγραμμα σχεδιασμένο για προστασία στην πηγή μιας παγκόσμιας κρίσης ασφαλείας. href=”https://msrc.microsoft.com/update-guide/vulnerability/cve-2025-53770″target=”_ blank”> Ένα ελάττωμα Microsoft είχε ήδη διορθώσει . Αντί για ένα απλό backdoor, το Exploit κλέβει τα κλειδιά κρυπτογραφίας ενός διακομιστή, μια μέθοδο που παρέχει βαθιά και επίμονη πρόσβαση . Διαδικασία δύο βημάτων. Όπως επεσήμανε η ερευνητική τους ομάδα,”Αυτά τα κλειδιά επιτρέπουν στους επιτιθέμενους να μιμούνται χρήστες ή υπηρεσίες, ακόμη και μετά την επιδιόρθωση του διακομιστή. Οι οργανισμοί πρέπει να εφαρμόζουν τόσο το νέο έμπλαστρο και να περιστρέψουν τα πλήκτρα μηχανής ASP.NET για να εκδιώξουν πλήρως τους εισβολείς. href=”https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sarepoint-vulnerability-cve-2025-53770″target=”_ blank”> Το”Toolshell”, παρέχει μη αυθεντική πρόσβαση σε συστήματα και επιτρέπει στους κακόβουλους ηθοποιούς να έχουν πλήρη πρόσβαση στο περιεχόμενο του SharePoint… και να εκτελέσουν κώδικα μέσω του δικτύου”. Η εκστρατεία κλιμακώθηκε γρήγορα από στοχευμένη κατασκοπεία σε εμφανές οικονομικό έγκλημα. Η Microsoft επιβεβαίωσε στις 23 Ιουλίου ότι η ομάδα Storm-2603 ήταν Δημόσια απελευθέρωση σε μια απόδειξη-concept express on gith on gith άμεσος κίνδυνος. Αυτό το περιστατικό υπενθυμίζει άλλες σημαντικές κρίσεις ασφαλείας του SharePoint, συμπεριλαμβανομένων κριτικών εκμεταλλεύσεων στα τέλη του 2024.