Oszałamiający raport ProPublica ujawnia, że Microsoft korzysta z chińskiego zespołu inżynieryjnego do utrzymania lokalnego oprogramowania SharePoint-tej samej platformy niedawno wykorzystanej w globalnej kampanii hakerskiej przypisanej chińskim podmiotom państwowym. To ujawnienie rodzi pilne pytania dotyczące bezpieczeństwa narodowego.
Wiadomości łączą się bezpośrednio z wadą „Toolshell” (CVE-2025-53770), która zagroziła ponad 400 organizacjom. Widoczne ofiary obejmują Departament Bezpieczeństwa Wewnętrznego USA i National Nuclear Security Administration.
Ta sytuacja tworzy rażący potencjalny konflikt interesów w sercu procesu konserwacji oprogramowania Microsoft. Zastosowanie chińskiego personelu do wspierania systemów używanych przez wrażliwe agencje amerykańskie zaniepokoiło ekspertów ds. Bezpieczeństwa, zwłaszcza biorąc pod uwagę rządowe poleganie na oprogramowaniu.
System został opracowany w celu nawigacji ścisłych amerykańskich zasad kontraktu, które często wymagają od obywateli amerykańskich do obsługi poufnych danych. Aby zrównoważyć zgodność z kosztami globalnej siły roboczej, Microsoft stworzył model, w którym niedostatecznie wykwalifikowani obywatele USA, niektórzy podobno zapłacili zaledwie 18 USD za godzinę, nadzorują elitarnych inżynierów zagranicznych. Te eskorty często brakowało specjalistycznej wiedzy technicznej w celu wykrycia złośliwego kodeksu, skutecznie dostarczając ekranu legalnej działań dotyczących działań. Zespół, Microsoft wydał oświadczenie potwierdzające tę praktykę, wyjaśniając: „Zespół chiński jest nadzorowany przez amerykańskiego inżyniera i podlega wszelkim wymaganiom bezpieczeństwa i przeglądowi kodu menedżera. Prace są już w toku, aby przenieść tę pracę na inną lokalizację.” Ten ruch odzwierciedla decyzję firmy do zatrzymaj użycie chińskich inżynierów do projektów chmur pentagonu , zmiana dokonana dopiero po początkowej „cyfrowej eskorty„ Escorts “Bruoke. Urzędnicy, którzy postrzegają to jako katastrofalną porażkę zarządzania ryzykiem. David Mihelcic, były dyrektor ds. Technologii w Agencji Systemów Informacyjnych Obrony (DISA), bezwzględnie ocenił fundamentalną wadę w porozumieniu: „Oto jedna osoba, której naprawdę nie ufasz, ponieważ prawdopodobnie jest w chińskiej służbie wywiadowczej, a druga osoba nie jest tak naprawdę zdolna.” Potencjał wykorzystywania, eksperci ostrzegają, jest niezbędne. Harry Coker, były starszy dyrektor wykonawczy zarówno CIA, jak i NSA, ostrzegł: „Gdybym był agentem, patrzyłbym na to jako drogę dla niezwykle cennego dostępu. Musimy się tym bardzo martwić.„ „Teoria wycieka”: jak hakerzy otrzymali głowę?
INDINICE EXPLEVEVETER, z wiarą “. Sugerując, że napastnicy zyskali krytyczny start z wycieku poufnego, a nie tylko sprytnego hakowania. Oś czasu wydarzeń jest głęboko podejrzliwy dla ekspertów ds. Bezpieczeństwa. Zaczęło się od odpowiedzialnego ujawnienia na konkursie PWN2own w maju, ale dowody pokazują, że wykorzystanie nowego zero-day zaczęło się na wolności 7 lipca, cały dzień przed wydaniem oficjalnej łaty oficjalnej łatki, aby naprawić pierwotnie wad.
Ta sekwencja doprowadziła wybitnych badaczy do zadania oficjalnej narracji, że atakujący po prostu odwrócili podwództwo. Dustin Childs of Trend Micro’s Zero Day Initiative, organizacja centralna dla ekosystemu ujawniania informacji o zagrożeniach, twierdzi, że czas jest potępiającym dowodem. Powiedział rejestrze: „Wydaje się gdzieś tutaj. A teraz masz zero-dniowy exploit na wolności, a co gorsza, masz na wolności zero-day exploit, który omija łatkę…”
Teoria zakłada, że wrażliwe szczegóły były wyciek z Microsoft Active Protections (MAPP). Ten program ma na celu udzielenie zaufanych dostawców bezpieczeństwa przedpremierowych informacji o łatce, aby pomóc im przygotować obronę klientów. Według Childsa to wcześniejsze powiadomienie mogło zostać przechwycone, dając atakującym precyzyjny plan. Twierdził, że każdy, kto ma te dane, „byłby w stanie powiedzieć, że jest to łatwy sposób na to,„ pozwalając im zapobiegawczo opracować obejście, zanim oficjalna łatka była nawet publiczna.
Podczas gdy linia czasu jest bardzo sugestywna, inni badacze oferują alternatywę, choć mniej prawdopodobne, możliwości. Satnam Narang z Tenable Research zauważył, że napastnicy nie mogą samodzielnie znaleźć wady. Ze swojej strony Microsoft pozostał szczery w spekulacji wycieku, zapewniając jedynie ogólne stwierdzenie, że „w ramach naszego standardowego procesu przejrzymy ten incydent, znajdziemy obszary, aby się poprawić i zastosować te ulepszenia.”
Jednak spekulacje przyniosły znaczną wagę, gdy
Anatomia ataku: od szpiegostwa i ukradła klucze do ransomware
„toolShell” atak jest wyrafinowany „plaster”. href=”https://msrc.microsoft.com/update-guide/vulneribality/cve-2025-53770″target=”_ blank”> wada Microsoft już ustalona . Zamiast prostego backdoora, exploit kradnie klucze maszyn kryptograficznych serwera, metodę, że zapewnia głęboki i uporczywy dostęp .
CyberSecurity Security, co najpierw wykrywa kampanię, that this that that to thate that to thate that to thate that to thate that this that this that this that this that this that this that this that this that this that this that this to remediation. Proces dwuetapowy. Jak zauważył ich zespół badawczy: „Te klucze pozwalają atakującym podszywać się pod użytkownikami lub usługami, nawet po załataniu serwera. Tak więc samodzielne nie rozwiązuje problemu”. Organizacje muszą zarówno zastosować nową łatkę, jak i obrócić swoje klucze maszyn ASP.NET, aby w pełni eksmitować intruzów.
U.S. CISA podkreśliło niebezpieczeństwo w wdrażanie Warlock Ranso. exploit .
Microsoft i Mandiant Google przypisali początkowe ataki chińskim grupom sponsorowanym przez państwo. Charles Carmakal, CTO Mandiant, potwierdził ocenę, stwierdzając: „Oceniamy, że przynajmniej jeden z aktorów odpowiedzialnych za tę wczesną eksploatację jest aktorem zagrożenia w Chinach Nexus. Zrozumienie, że wiele aktorów jest teraz aktywnie wykorzystywane przez tę wrażliwość.”
Rząd Chińczyków znacznie zaprzecza tym zarzutom, który jest oskarżeniem. W tym samym czasie sprzeciwiamy się rozmazom i atakom przeciwko Chinom pod usprawiedliwieniem problemów cyberbezpieczeństwa. “
Zagrożenie zostało dodatkowo zdemokratyzowane przez publiczne uwolnienie dowodu na temat github