A lenyűgöző propublica-jelentés azt mutatja, hogy a Microsoft egy kínai székhelyű mérnöki csapatot használ a helyszíni SharePoint szoftverének fenntartására-ugyanazt a platformot, amelyet a közelmúltban használtak ki a kínai állami szereplőknek tulajdonított globális hackelési kampányban. Ez a közzététel sürgős nemzetbiztonsági kérdéseket vet fel. A magas szintű áldozatok között szerepel az Egyesült Államok Belbiztonsági Minisztériuma és a Nemzeti Nukleáris Biztonsági Igazgatóság. A kínai személyzet használata az érzékeny amerikai ügynökségek által használt rendszerek támogatására riasztotta a biztonsági szakértőket, különös tekintettel a kormányra a szoftverre való támaszkodásra. SharePoint kód
A propublica vizsgálata Megjelenik a „Kínai alapú mérnöki csapat”-a Kínai Műszaki Csoport közvetlenül a felelősségért és a karbantartásban. A széles körben elterjedt támadások során megcélzott szoftver speciális verziója. Ez a nyilvánosságra hozatal nem vákuumban történt; Ez egy korábbi jelentést követi, amely részletezi a Microsoft által a „Digital Escorts” néven ismert magas kockázatú, „Digital Escorts” néven történő használatát. A globális munkaerő költségeinek kiegyenlítése érdekében a Microsoft olyan modellt hozott létre, ahol az alulképzett amerikai állampolgárok-néhányan állítólag egy óránként 18 dollárt fizettek, felügyelnék az elit külföldi mérnököket. A csapat, a Microsoft nyilatkozatot adott ki, amely elismerte a gyakorlatot, tisztázva: „A kínai székhelyű csapatot egy amerikai székhelyű mérnök felügyeli, és minden biztonsági követelménynek és a menedzser kódjának felülvizsgálatának függvényében van. href=”https://www.securityweek.com/microsoft-halts-use-of-china alapú-engineers-for-pentagon-cloud/”Target=”_ üres”> A kínai mérnökök használatának megállítása a Pentagon Cloud Projectshez , csak a kezdeti „Digitális Mozdóképesség” történetétől kezdve. A tisztviselők, akik ezt a kockázatkezelés katasztrofális kudarcának tekintik. David Mihelcic, a Védelmi Információs Rendszerek Ügynökségének (DISA) volt technológiai vezérigazgatója tompaan értékelte a megállapodás alapvető hibáját: „Itt van egy olyan személy, akiben valójában nem bízik, mert valószínűleg a kínai hírszerző szolgálatban vannak, és a másik személy nem igazán képes.”Harry Coker, a CIA és az NSA volt vezető ügyvezetője figyelmeztette: „Ha operatív lennék, ezt a rendkívül értékes hozzáférés útjának tekintem. Nagyon aggódnunk kell.”A támadók kritikus előadást szereztek a bennfentes szivárgásból, nem csak az okos hackeléstől. Az események ütemterve mélyen gyanús a biztonsági szakértők számára. A májusban a PWN2OWN versenyen a felelősségteljes nyilvánosságra hozatalával kezdődött, de a bizonyítékok azt mutatják, hogy az új Zero Day kizsákmányolása július 7-én kezdődött a Wild-ben, egy teljes nappal azelőtt, hogy a Microsoft július 8-án kiadta hivatalos javítását az eredetileg jelentett hibák kijavítására. A Dustin Childs of Trend Micro’s Zero Day Initiative, a sebezhetőség nyilvánosságra hozatalának ökoszisztémájának központi szervezete szerint az időzítés rohadt bizonyítékokat jelent. Azt mondta a nyilvántartásnak: „Szivárgás történt itt valahol. És most már nulla napos kizsákmányolást kaptál a vadonban, és ennél is rosszabb, hogy nulla napos kizsákmányolást kapsz a vadonban, amely megkerüli a javítást…”
Az elmélet azt állítja, hogy az érzékeny részletek kiszivárogtak a Microsoft Active Protections programjáról (MAPP). Ennek a programnak az a célja, hogy megbízható biztonsági szállítók számára biztosítsa a kiadás előtti javítási információkat, hogy segítsék őket az ügyfelek védelmének előkészítésében. Childs szerint ezt az előzetes értesítést elfoghatták volna, így a támadóknak pontos tervet adtak. Azt állította, hogy bárki, akinek ez az adatok „képesek lesznek elmondani, hogy ez egy egyszerű módja annak, hogy túljuthassunk, lehetővé téve számukra, hogy megelőzően megtervezzék a megoldást, mielőtt a hivatalos javítás még nyilvános volt. Satnam Narang, a Tenable Research, megjegyezte, hogy a támadóknak nem lehetetlen önmagában találni a hibát. A Microsoft a maga részéről szorosan megragadta a szivárgási spekulációt, csak egy általános nyilatkozatot adva, miszerint „a szokásos folyamatunk részeként áttekintjük ezt az eseményt, megtaláljuk a fejlesztéseket, és ezeket a fejlesztéseket széles körben alkalmazzuk.” href=”https://www.bloomberg.com/news/articles/2025-07-25/microsoft-sharepoint-hack-probe-onhether-chinese-hackers-found-flaw-via-alert”cél=”_ blank”> Bloomberg jelentése szerint a Microsoft most már belsőleg vizsgálja meg >. A szonda arra koncentrál, hogy a MAPP figyelmeztetése véletlenül leépült-e a hackerekről, és a védelemre tervezett programot egy globális biztonsági válság forrásává változtatja. href=”https://msrc.microsoft.com/update-guide/vulnerability/cve-2025-53770″Target=”_ üres”> A Microsoft hibája már rögzített . Egy egyszerű hátsó ajtó helyett a kizsákmányolás ellopja a szerver kriptográfiai gépi kulcsát, egy olyan módszert, amely Mély és perisztens hozzáférést biztosít, és ez a kampány, amely a kampányokat biztosítja, ez a kampány, amely ezt a kampányt nyújtja, ez a kampány, amely ezt a kampányt nyújtja, ez a kampány, amely ezt megteszi. Komplex, kétlépéses folyamat. Ahogyan kutatócsoportjuk megjegyezte:”Ezek a kulcsok lehetővé teszik a támadók számára, hogy megszemélyesítsék a felhasználókat vagy szolgáltatásokat, még a szerver javítása után is. Tehát a javítás önmagában nem oldja meg a problémát.”A szervezeteknek mind az új javítást kell alkalmazniuk, és el kell forgatniuk az ASP.NET gépi kulcsokat a betolakodók teljes kilakoltatásához. href=”https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770″ target=”_blank”>an alert, stating, “This exploitation activity, publicly reported as ‘ToolShell,’ provides A rendszerekhez való hozzáférés, és lehetővé teszi a rosszindulatú szereplők számára, hogy teljes mértékben hozzáférjenek a SharePoint tartalomhoz… és végrehajtják a kódot a hálózaton keresztül.”A kampány gyorsan fokozódott a célzott kémkedésről a nyílt pénzügyi bűncselekményekre. A Microsoft július 23-án megerősítette, hogy a Storm-2603 csoport _ blanking-hacking-now-hacking-now-somware-2025-07-23/. Hasznosító . Charles Carmakal, a Mandiant’s CTO megerősítette az értékelést, kijelentve: „Értékeljük, hogy a korai kizsákmányolásért felelős szereplők legalább egy kínai-nexus fenyegetés színész. Fontos, hogy megértsük, hogy a több szereplő most aktívan kihasználja ezt a sebezhetőséget.”Ugyanakkor ellenzik a Kína elleni keneteket és támadásokat a kiberbiztonsági kérdések kifogása alatt.”
A fenyegetést tovább demokratizálta a nyilvános kiadás a Github-on. azonnali kockázat. Ez az esemény emlékeztet más nagy SharePoint biztonsági válságokra, ideértve a kritikus kizsákmányolásokat 2024 végén.