Microsoft heeft een decenniumbeleid omgekeerd om in China gevestigde ingenieurs te gebruiken voor gevoelige Pentagon Cloud Systems nadat de praktijk was blootgesteld, maar nieuwe rapporten blijkt dat het bedrijf de volledige reikwijdte van deze hoog-risico-arrangement aan Amerikaanse ambtenaren niet heeft bekendgemaakt. (DOD), volgens a Propublica Investigation . De controverse is sindsdien geëscaleerd en verbindt de praktijk met een grote software-hack.
een mislukking van openbaarmaking en toezicht
De controverse werd verdiept met de openbaring dat de officiële beveiligingsplannen van Microsoft deze cruciale details actief verbergen van de overheid. Een februari 2025″Systeembeveiligingsplan”ingediend bij het Pentagon beschreef een vaag”geëscorteerde toegang”-beleid voor”niet-gescreend personeel”, volgens een
Sherman concludeerde later dat het probleem een”geval was om de perfecte vraag niet te stellen aan de verkoper, met elke denkbare verboden toestand die werd uitgesproken.”Hij voegde eraan toe dat een dergelijke vraag”deze gekke praktijk van‘ digitale escorts ’zou hebben gerookt”en dat”het bedrijf moet toegeven dat dit verkeerd was en zich ertoe verbinden niet dingen te doen die geen gezond verstandstest doorstaan.”
Het toezichtsfalen lijkt systemisch en diepgaand te zijn geweest. Het Defense Information Systems Agency (DISA), het eigen IT-bureau van de DOD, heeft het beveiligingsplan van Microsoft beoordeeld en geaccepteerd. Een DISA-woordvoerder zei aanvankelijk tegen ProPublica:”Letterlijk lijkt niemand hier iets van te weten,”benadrukt hoe diep de praktijk werd begraven.
Deze situatie belicht ook mogelijke belangenconflicten in het FedRamp-proces zelf. Zowel FedRamp als de DOD zijn afhankelijk van”externe beoordelingsorganisaties”om leveranciers te dichten. Deze onafhankelijke auditors worden echter ingehuurd en rechtstreeks betaald door het bedrijf dat wordt beoordeeld. Microsoft heeft bijvoorbeeld een bedrijf met de naam Kratos ingehuurd om zijn beoordelingen te beheren.
Critici, waaronder een voormalige ambtenaar van de Algemene Dienstenadministratie, beweert dat dit arrangement een inherent conflict presenteert, het vergelijken met een restaurant betalen voor zijn eigen gezondheidsinspecteur . Een voormalige Microsoft-medewerker die bekend was met het proces beschreef het als’de getuige leiden’, waarin staat:’U betaalt voor de gewenste uitkomst.’Deze combinatie van vage openbaarmaking en uitbestede toezicht stelde de risicovolle praktijk in staat om jarenlang aan te blijven.
Pentagon-terugslag en een snelle omkering
De publieke reactie uit Washington was onmiddellijk en ernstig na het eerste juli-rapport. De Amerikaanse minister van Defensie Pete Hegseth plaatste op X dat de praktijk volledig onaanvaardbaar was en verklaarde in een WIDELIJKE CIRCUSED POST
Deze ondubbelzinnige openbare berisping van het hoogste niveau van het Pentagon verliet Microsoft zonder ruimte om te manoeuvreren. De druk werd versterkt door wetgevers, met senatoren zoals Tom Cotton De aanbodketenrisico’s en eisen actie. In een brief aan Hegseth verklaarde Cotton dat het duidelijk was dat de DOD en het Congres verdere actie zouden moeten ondernemen tegen dergelijke’onverstandige-en schandelijke-praktijken’.
met een politieke vuurstorm, voerde Microsoft een abrupt omkering van haar decenniumlange beleid uit. Op 18 juli, slechts enkele dagen nadat het verhaal brak, kondigde Chief Communications Officer Frank X. Shaw de verandering aan. In een Post op x , bevestigde Shaw,”Microsoft heeft bevestigd:”Microsoft heeft wijzigingen aangebracht in onze ondersteuning voor Amerikaanse overheidsklanten om te verzekeren dat geen China-engineering engineering is. Escort”-programma was geen geïsoleerd incident voor het bedrijf. Het droeg bij aan een verontrustend patroon van beveiliging dat Microsoft heeft geplaagd en het vertrouwen in Washington hebben geërodeerd. De snelle veroordeling volgde een Scathing overheidsrapport Over een 2023 hacks van de Chinese staatsafdeling E-mails.
die rapporteerden van de Cyber Safety Review Board de schuld gaf van een”cascade van vermijdbare fouten”en een bedrijfscultuur die”de beveiliging heeft gedeprioritiseerd.”Slechts een maand voordat het escortverhaal brak, heeft Microsoft-president Brad Smith getuigd voor het congres , geconfronteerd met intense vragen over deze zeer falen. De nieuwste openbaring versterkte alleen de bestaande politieke druk, waardoor de hand van het bedrijf werd gedwongen.
SharePoint Hack Connection ontsteekt verdere verontwaardiging
Het schandaal nam nog een alarmerende wending wanneer een SOMENTE ProPublica-rapport in augustus onthulde dat het gebruik van Chinese ingenieurs niet beperkt was tot cloudinfrastructuur. Een in China gevestigd team was ook direct verantwoordelijk voor het onderhouden en repareren van bugs in Microsoft’s online SharePoint-software, zoals gerapporteerd door Winbuzzer.
Dit is dezelfde”onprem”-versie van de software gericht in de recente”Toolshell”(CVE-2025-53770) hackcampagne. De exploit heeft meer dan 400 organisaties gecompromitteerd, waaronder delen van het Amerikaanse ministerie van Binnenlandse Veiligheid. In reactie hierop erkende Microsoft de praktijk en verklaarde:”Er is al werk aan de gang om dit werk naar een andere locatie te verplaatsen,”zijn reactie op de controverse van de Pentagon-cloud weerspiegelen. Cybersecurity Firm Eye Security, die voor het eerst de campagne ontdekte, waarschuwde dat dit sanering moeilijk maakte en merkte op:”Alleen patchen alleen oplossen.”De Amerikaanse CISA onderstreepte het gevaar en stelt dat de exploit’niet-geverifieerde toegang tot systemen biedt en kan kwaadaardige acteurs volledig toegang hebben tot SharePoint-inhoud.’
De oorsprong van de exploit is zeer controversieel. Beveiligingsexperts geloven dat de aanvallers een voorsprong hebben gekregen van een insider-lek, niet alleen slim hacking. Bewijs toont aan dat uitbuiting begon op 7 juli, een volledige dag voordat Microsoft zijn officiële patch uitbracht. Dit heeft onderzoekers ertoe gebracht te speculeren dat details zijn gelekt uit het Microsoft’s Active Protection-programma (MAPP), dat beveiligingsverkopers pre-release patch-informatie geeft.
Dustin Childs of Trend Micro’s Zero Day Initiative genaamd The Timeline Damning Bewijs, ruzie,”Een lek is hier een lek gebeurd. En nu heeft u een Zero-day in het wild en een Zero Day In het wild, u hebt een Zero Day Into The Wilde en Slechts. Dat omzeilt de patch…”De speculatie kreeg aanzienlijk gewicht wanneer
Microsoft en Google’s Mandiant hebben de eerste aanvallen toegeschreven aan Chinese door de staat gesponsorde groepen, hoewel de campagne snel escaleerde naar financiële misdaad met de inzet van Warlock-ransomware. De Chinese overheid heeft de aantijgingen stevig ontkend.
De openbaring creëert een opvallend belangenconflict, waardoor verdere verontwaardiging van beveiligingsexperts wekt. David Mihelcic, een voormalige CTO in DISA, beoordeelde botweg het gevaar van het onderliggende escortprogramma:”Hier heb je één persoon die je echt niet vertrouwt omdat ze waarschijnlijk in de Chinese inlichtingendienst zijn, en de andere persoon is niet echt in staat.””
Harry Coker, een voormalig senior executief bij de CIA en NSA, echo, echo de bezorgdheid,”als ik een operatief zou zijn, ik was een operatief, ik was een operatief, ik was een operatief, ik zou er een operatief uitzien. Voor extreem waardevolle toegang. De aflevering is een verontrustend voorbeeld van hoe kostenbesparende maatregelen die worden toegepast op missiekritische systemen catastrofaal risico kunnen introduceren.
