Een verbluffend ProPublica-rapport onthult dat Microsoft een in China gevestigd engineeringteam gebruikt om zijn on-premise SharePoint-software te onderhouden-hetzelfde platform dat onlangs is geëxploiteerd in een wereldwijde hackingcampagne toegeschreven aan Chinese staatsactoren. Deze openbaarmaking roept dringende vragen van nationale veiligheid op.
Het nieuws gaat rechtstreeks aan op de”Toolshell”Zero-Day FLAW (CVE-2025-53770), die meer dan 400 organisaties heeft aangetast. Spraakmakende slachtoffers zijn onder meer het Amerikaanse ministerie van Binnenlandse Veiligheid en de National Nuclear Security Administration.
Deze situatie creëert een opvallend potentieel belangenconflict in het hart van het software-onderhoudsproces van Microsoft. The use of Chinese personnel to support systems used by sensitive U.S. agencies has alarmed security experts, especially given the government’s reliance on the software.
A Glaring Conflict: China-Based Engineers Maintained Exploited SharePoint-code
Het propublica-onderzoek onthullende verbindingen van de china die direct verantwoordelijk is voor het fixeren van bugs en onderhoudsinstanties voor het fixeren van bugs en onderhoudsinstanties die direct verantwoordelijk zijn voor het fixeren van bugs en onderhoudsinstanties en onderhoudsonderzoek zijn direct verantwoordelijk voor het fixeren van bugs en onderhoudsinstanties die direct verantwoordelijk zijn voor het fixeren van bugs en onderhouden van bugs en onderhoudsonderzoek zijn direct verantwoordelijke bugs en onderhoudsvoorziening van bugs en onderhoudsgebonden bugs en onderhoudsvoorziening van bugs en onderhoudsgebonden bugs en onderhoudsonderzoek van de sharepoint.”Onprem”-De specifieke versie van de software die is gericht op de wijdverbreide aanvallen. Deze openbaarmaking is niet in een vacuüm gebeurd; Het volgt op een eerder rapport waarin het gebruik van Microsoft een hoog risico-tijdelijke oplossing wordt beschreven, bekend als”digitale escorts”om gevoelige overheidssystemen te bedienen.
dat systeem is bedacht om te navigeren om strikte Amerikaanse federale contractregels te navigeren, waarvoor Amerikaanse burgers vaak moeten omgaan met gevoelige gegevens. Om de naleving van de kosten van zijn wereldwijde personeelsbestand in evenwicht te brengen, creëerde Microsoft een model waarbij te weinig gekwalificeerde Amerikaanse burgers, sommigen naar verluidt betaalden slechts $ 18 per uur, zouden toezicht houden op elite buitenlandse ingenieurs.
Deze escorts ontbraken vaak de laatste belemmering voor de laatste beloning voor de leiding over de schare team, in de leiding over de shari-team, in de leiding over de shari-team, in de leiding over de shari-team, in de leiding over de shari-team, in de leiding over de shari-team, in de leiding over de shari-team, in de leiding over de shari-team, die geen enkel beantwoording van de shari-team, in de leiding over de shari-team, in de neiging om de shari-team te geven, in de neiging om de leiding te geven aan de schare Microsoft heeft een verklaring afgegeven waarin de praktijk werd erkend en verduidelijkt:”Het in China gevestigde team wordt begeleid door een in de VS gevestigde ingenieur en onderworpen aan alle beveiligingsvereisten en managercode-evaluatie. Er is al aan de gang om dit werk naar een andere locatie te verplaatsen.”
Deze beweging weerspiegelt de beslissing van het bedrijf naar halt het gebruik van Chinese ingenieurs voor Pentagon Cloud-projecten , een verandering die pas na het eerste”digitale escorts”verhaal is geblokkeerd. Ambtenaren die het zien als een catastrofaal falen van risicobeheer. David Mihelcic, een voormalige Chief Technology Officer bij het Defense Information Systems Agency (DISA), beoordeelde botweg de fundamentele fout in de regeling:”Hier heb je één persoon die je echt niet vertrouwt omdat ze waarschijnlijk in de Chinese inlichtingendienst zijn, en de andere persoon is niet echt in staat.”Harry Coker, een voormalige senior executive bij zowel de CIA als de NSA, waarschuwde:”Als ik een operatie was, zou ik dat als een weg zien voor extreem waardevolle toegang. We moeten zich daar zorgen over maken.”
de ‘LEAK THEORY”: Hoe hebben hackers een hoofdstart gekregen? Aanvallers suggereren een kritieke voorsprong van een insider-lek, niet alleen slim hacking. De tijdlijn van evenementen is zeer achterdochtig voor beveiligingsexperts. Het begon met een verantwoorde openbaarmaking op de PWN2own-competitie in mei, maar bewijsmateriaal toont aan dat de exploitatie van de nieuwe zero-day begon in het wild op 7 juli, een volledige dag voordat Microsoft zijn officiële patch op 8 juli uitbracht om de oorspronkelijk gerapporteerde fout te repareren. Dustin Childs of Trend Micro’s Zero Day Initiative, een organisatie die centraal staat in het ecosysteem van de Kwetsbaarheid, beweert dat de timing verdomd bewijs is. Hij zei tegen het register:”Er is hier een lek gebeurd. En nu heb je een zero-day exploit in het wild, en erger dan dat, je hebt een zero-day exploit in het wild die de patch omzeilt…”
De theorie stelt dat gevoelige details zijn gelekt uit het actieve beschermingsprogramma van Microsoft (MAPP). Dit programma is ontworpen om vertrouwde beveiligingsleveranciers pre-release patch-informatie te geven om hen te helpen bij het voorbereiden van klantverdedigingen. Volgens Childs had deze voorafgaande kennisgeving kunnen worden onderschept, waardoor aanvallers een precieze blauwdruk hebben gegeven. Hij betoogde dat iedereen met deze gegevens “zou kunnen vertellen dat dit een gemakkelijke manier is om er voorbij te komen,’waardoor ze een tijdelijke oplossing kunnen ontwikkelen voordat de officiële patch zelfs openbaar was.
Terwijl de tijdlijn zeer suggestief is, bieden andere onderzoekers alternatieve, hoewel minder waarschijnlijk, mogelijkheden. Satnam Narang van houdbaar onderzoek merkte op dat het voor aanvallers niet onmogelijk is om de fout alleen te hebben gevonden. Van zijn kant is Microsoft de lekspeculatie strak achtergelaten, met slechts een algemene verklaring dat”als onderdeel van ons standaardproces dit incident zullen beoordelen, gebieden vinden om te verbeteren en die verbeteringen in grote lijnen toepassen.”
. href=”https://www.bloomberg.com/news/articles/2025-07-25/microsoft-sharepoint-hack-probe-on-hether-chinese-hackers-found-fia-via-alert”target=”_ blank”> Bloomberg meldde dat Microsoft nu intern onderzoek is. De sonde concentreert zich op of de MAPP zelf per ongeluk de hackers heeft getipt, waardoor een programma is ontworpen dat is ontworpen voor bescherming in de bron van een wereldwijde beveiligingscrisis.
Anatomie van een aanval: van spionage en gestolen sleutels tot ransomware
De”Toolshell”-aanval is een geavanceerde”Patch-bypass”van”Patch-omschakeling”van Een fout die Microsoft al had opgelost . In plaats van een eenvoudige achterdoor steelt de exploit de cryptografische machinetoetsen van een server, een methode die biedt diepe en aanhoudende toegang
cybersecurity firma eye-eye van de campagne, waar dit dit is. Complexe tweestapsproces. Zoals hun onderzoeksteam opmerkte:”Deze sleutels stellen aanvallers in staat om gebruikers of services na te doen, zelfs nadat de server is gepatcht. Dus alleen patchen lost het probleem niet op.”Organisaties moeten zowel de nieuwe patch toepassen als hun ASP.NET-machinetoetsen roteren om indringers volledig uit te zetten.
De Amerikaanse CISA onderstreepte het gevaar in an ALert , seting,”dit deze deze deze te laten,”dit deze te laten,”dit deze te laten,”dit is een openbaarmakingsactiviteit”‘Toolshell,’ biedt niet-geauthenticeerde toegang tot systemen en stelt kwaadaardige actoren in staat om volledig toegang te krijgen tot SharePoint-inhoud… en code uit te voeren via het netwerk.”De campagne escaleerde snel van gerichte spionage naar openlijke financiële misdaad. Microsoft bevestigde op 23 juli dat de Storm-2603-groep _ warlock ransomware gebruiken om de implementatie te gebruiken Exploit .
Microsoft en Google’s Mandiant hebben de eerste aanvallen toegeschreven aan Chinese door de staat gesponsorde groepen. Charles Carmakal, CTO van Mandiant, bevestigde de beoordeling en verklaarde:”We beoordelen dat ten minste een van de actoren die verantwoordelijk zijn voor deze vroege uitbuiting een China-Nexus-dreigingsacteur is. Het is van cruciaal belang om te begrijpen dat meerdere actoren nu actief exploiteren van deze kwetsbaarheid.”Tegelijkertijd verzetten we ons tegen smiet en aanvallen tegen China onder het excuus van cybersecurity-kwesties.”
De dreiging werd verder gedemocratiseerd door de Public Release of een Provuits For Provo of een Provuits For Provuits Provo organisaties met onmiddellijk risico. Dit incident herinnert aan andere grote SharePoint-beveiligingscrises, waaronder kritische exploits eind 2024.
