En säkerhetsforskare föreslår en läcka från ett Microsoft-partnerprogram som drivs den massiva SharePoint-hackingkampanjen som har komprometterat över 400 organisationer. Dustin Childs från Trend Micros nolldagsinitiativhöjdpunkter som attacker som utnyttjar nolldagarnas brist började innan Microsoft släppte sin officiella patch.
Denna tidpunkt ställer tvivel om teorin om att angriparna helt enkelt omvända fixen efter att det släpptes. Det pekar på en läcka av information före utsläpp, som gjorde det möjligt för hotaktörer att skapa en förbikopplingsutnyttjande med oroande hastighet. Händelsen har sedan eskalerat från spionage till ransomware.
en läckage före läckan? Jakten på exploatens ursprung
Kontroversen centrerar på en tidslinje som säkerhetsexperter tycker är djupt misstänkta och pekar inte på en lysande bit av oberoende hacking utan till en potentiell läcka djupt inom Microsofts egen avslöjande process. The story begins on May 15, when a researcher demonstrated a potent SharePoint exploit chain at the Pwn2Own Berlin competition and responsibly disclosed the full details to Microsoft, Starta en 90-dagars klocka för en patch.
Efter standardproceduren förberedde Microsoft en fix för sin 8-lapp. Två veckor före, den 24 juni, delade den förhandsdetaljer om sårbarheter och korrigeringar med pålitliga partners i sitt Microsoft Active Protection-program (MAPP). Målet med MAPP är att ge säkerhetsleverantörer ett försprång på att bygga skydd för sina kunder.
Emellertid visar bevis att exploatering av en ny, relaterad nolldag (CVE-2025-53770) började i den vilda juli. Detta var en hel dag innan Microsofts officiella patch gick live, en sekvens som säkerhetsforskare dammbarn av trendmikro.
Han hävdar att angriparna hade ett kritiskt försprång som inte kan förklaras genom att omvänd konstruktion av lappen efter att det släpptes. Childs told The Register, “a leak happened here somewhere. And now you’ve got a zero-day exploit in the wild, and worse than that, you’ve got a zero-day exploit in the wild that bypasses the Patch…”, vilket tyder på att förskottskunskap var nyckeln.
“Läckteorin”poserar att hotaktörer erhöll de känsliga MAPP-uppgifterna, som inte bara detaljerade den ursprungliga bristen utan också avslöjade det specifika, smala sättet som Microsoft fixade den. Enligt Childs skulle alla med denna information”kunna säga att detta är ett enkelt sätt att komma förbi den”, vilket gör att de i förväg kan konstruera en lösning.
Medan tidslinjen är mycket suggestiv, erbjuder andra forskare alternativa möjligheter. Satnam Narang från Tenable Research noterade att det inte är omöjligt för angripare att ha hittat bristen på egen hand, kanske med hjälp av moderna verktyg. Han sa till registret,”Det är svårt att säga vad Domino var tvungen att falla för att dessa hotaktörer skulle kunna utnyttja dessa brister i naturen.”
För sin del har Microsoft förblivit tät på läckspekulationen. När den ifrågasattes gav en talesman ett allmänt uttalande och sa:”Som en del av vår standardprocess kommer vi att granska denna incident, hitta områden för att förbättra och tillämpa dessa förbättringar i stort.”Detta lämnar den kritiska frågan om hur angriparna fick sitt försprång officiellt obesvarade.
Från spionage till ransomware: Kinesiska-länkade grupper som skyltats för attacker
eftersom de tekniska detaljer om de exploaterade utgjorde, Microsoft och Googles mandiant attribut den initiala vågen av attacker till attacker till attacker till attacker till attacker till attacker till attacker till attacker till attacker. In a detailed report, Microsoft’s investigation identified two established crews, Linen Typhoon and Violet Typhoon, alongside En nyare enhet spårad som Storm-2603 , som de primära skyldigheterna bakom kampanjen.
Dessa är inte okända skådespelare. Enligt Microsoft har Linen Typhoon varit aktivt sedan minst 2012 med fokus på immateriell stöld, medan Violet Typhoon, som först observerades 2015, beskrivs som”hängiven till spionage.”Detta är i linje med den första inriktningen på regerings-och högvärdesföretagsnätverk, ett kännetecken för avancerat ihållande hot (APT). sårbarhet.”Denna tillskrivning lägger till en betydande geopolitisk dimension och ekar tidigare stora hacks av Microsoft-produkter som också skyllde på Kina.
Den kinesiska regeringen har emellertid fast förnekat anklagelserna. I ett formellt uttalande sade kinesiska utrikesministeriets talesman Guo Jiakun:”Kina motsätter sig och kämpar hackningsaktiviteter i enlighet med lagen. Samtidigt motsätter vi oss utstryk och attacker mot Kina under ursäkten för cybersäkerhetsfrågor,”pressar tillbaka mot Microsoft och amerikanska tjänstemän. Den 23 juli bekräftade Microsoft att Storm-2603-gruppen använde samma exploatering till Exfiltrat serverns kryptografiska maskinnycklar .
stjäla dessa nycklar är mycket farligare än en enkel serverkomome. Det är de masterbevis som används av SharePoint Farm: s statliga förvaltningssystem för att validera och dekryptera sessiondata. Genom att ha dessa nycklar kan angripare generera giltiga `__ViewState` nyttolaster, vilket effektivt förvandlar alla autentiserade begäran till en potentiell exekveringsvektor för fjärrkod. Detta ger dem en djup och ihållande kontrollnivå som är svår att upptäcka.
Denna metod säkerställer att angripare kan upprätthålla tillgång även efter att en organisation tillämpar Microsofts nödlapp. När forskarteamet på Eye Security varnar:”Dessa nycklar tillåter angripare att efterge sig användare eller tjänster, även efter att servern har lappats. Så att lappa ensam löser inte problemet.”Denna kritiska detalj innebär att varje server som komprometteras innan den lappas förblir sårbar tills ytterligare åtgärder vidtas.
Följaktligen är sanering en komplex, tvåstegsprocess. Att helt enkelt tillämpa den nya säkerhetsuppdateringen räcker inte för att avvisa angripare som redan har brutit mot en server. Microsoft har betonat att organisationer också måste utföra det avgörande andra steget: Rotating deras asp.net-machine-keys The severity and rapid escalation of the attack prompted a swift and urgent response from both Microsoft and U.S. federal myndigheter. Ursprungligen krypterade för att innehålla hotet innan en patch var klar, publicerade Microsoft först brådskande begränsningsvägledning den 20 juli, och rådde administratörer att möjliggöra specifika säkerhetsfunktioner och rotera sina servernycklar. Bara en dag senare, den 21 juli, släppte företaget Emergency, out-of-band säkerhetsuppdateringar för alla drabbade aktuella SharePoint-versioner. I ett uttalande som erkänner händelsens allvar, en Microsoft-talesman sa,”Som en del av vår standardprocess kommer vi att granska denna incident, hitta områden för att förbättra och tillämpa dessa förbättringar bredare.” i parallella, den amerikanska CY-processen och Infr-byrån och Infr-byrån och Infr-byrån och inferera byrå och inferera byrå och infödda byråer, och infogas, sade vi, och tillämpar dessa förbättringar bredt. (CISA) vidtog avgörande åtgärder. The agency added CVE-2025-53770 to its Known Exploited Vulnerabilities (Kev) Katalog , en lista över brister som är kända för att aktivt användas av motståndare. CISA issued a binding directive ordering all federal civilian agencies to apply Microsoft’s patches and remediation steps by July 21, signaling the highest level of urgency. In its alert, CISA explained the danger in stark terms, stating, “this exploitation activity, publicly reported as ‘ToolShell,’ provides unauthenticated access to systems and enables malicious actors to fully access SharePoint content… and Utför kod över nätverket.” Det federala direktivet kom när listan över offer skyrocketed från några dussin till Offentlig release av en proof-of-concept (poc) exploit on github . Denna utveckling demokratiserade effektivt den sofistikerade attacken, vilket gjorde den tillgänglig för ett mycket bredare utbud av mindre skickliga cyberbrottslingar och ransomware-gäng. Säkerhetsexperter varnade för att detta sannolikt skulle utlösa en massiv våg av automatiserade, oskärpa attacker mot alla återstående oupptagna system, vilket sätter tusentals fler organisationer i omedelbar risk. Microsoft and CISA Scramble as Victim Tally Surpasses 400
