นักวิจัยด้านความปลอดภัยแนะนำให้รั่วไหลจากโปรแกรมพันธมิตรของ Microsoft เป็นเชื้อเพลิงในแคมเปญแฮ็ค SharePoint ขนาดใหญ่ที่มีการบุกรุกมากกว่า 400 องค์กร Dustin Childs of Trend Micro Micro’s Initiative ไฮไลท์ไฮไลท์ที่การโจมตีใช้ประโยชน์จากข้อบกพร่องที่เป็นศูนย์เริ่มขึ้นก่อนที่ Microsoft จะเปิดตัวแพตช์อย่างเป็นทางการ
เวลานี้ทำให้เกิดความสงสัยในทฤษฎีที่ว่าผู้โจมตีเพียงแค่ย้อนกลับการแก้ไขหลังจากการเปิดตัว มันชี้ไปที่การรั่วไหลของข้อมูลแพทช์ก่อนปล่อยซึ่งอนุญาตให้นักแสดงภัยคุกคามสามารถสร้างการใช้ประโยชน์จากการใช้ประโยชน์จากความเร็วที่น่าตกใจ เหตุการณ์ดังกล่าวเพิ่มขึ้นตั้งแต่การจารกรรมเป็น ransomware
การรั่วไหลก่อนแพทช์? การตามล่าหาแหล่งกำเนิดของการหาประโยชน์
ศูนย์การโต้เถียงในระยะเวลาที่ผู้เชี่ยวชาญด้านความปลอดภัยพบว่าน่าสงสัยอย่างลึกซึ้งโดยไม่ชี้ไปที่การแฮ็คอิสระที่ยอดเยี่ยม เรื่องราวเริ่มต้นในวันที่ 15 พฤษภาคมเมื่อนักวิจัย
อย่างไรก็ตามหลักฐานแสดงให้เห็นว่าการใช้ประโยชน์จากศูนย์ใหม่ที่เกี่ยวข้อง (CVE-201025-53770) เริ่มต้นขึ้นในวันที่ 7 กรกฎาคม
เขาระบุว่าผู้โจมตีมีจุดเริ่มต้นที่สำคัญซึ่งไม่สามารถอธิบายได้โดยการย้อนกลับของแพทช์หลังการเปิดตัว Childs บอก การลงทะเบียน”การรั่วไหลเกิดขึ้นที่นี่ แพตช์…”การแนะนำความรู้ล่วงหน้าเป็นกุญแจสำคัญ
“ทฤษฎีการรั่วไหล”วางตัวว่านักแสดงภัยคุกคามได้รับข้อมูล MAPP ที่ละเอียดอ่อนซึ่งไม่เพียง แต่รายละเอียดข้อบกพร่องดั้งเดิม แต่ยังเปิดเผยวิธีที่แคบ ตามที่ Childs ทุกคนที่มีข้อมูลนี้“ จะสามารถบอกได้ว่านี่เป็นวิธีที่ง่ายในการผ่านมันไป” ช่วยให้พวกเขาสามารถแก้ไขปัญหาการแก้ปัญหาได้
ในขณะที่ไทม์ไลน์มีการชี้นำอย่างมากนักวิจัยคนอื่น ๆ เสนอความเป็นไปได้ทางเลือก Satnam Narang จากการวิจัยที่น่าจดจำระบุว่ามันเป็นไปไม่ได้ที่ผู้โจมตีจะพบข้อบกพร่องด้วยตัวเองบางทีอาจได้รับความช่วยเหลือจากเครื่องมือสมัยใหม่ เขาบอกกับการลงทะเบียนว่า“ เป็นการยากที่จะบอกว่าโดมิโนต้องตกเพื่อให้นักแสดงภัยคุกคามเหล่านี้สามารถใช้ประโยชน์จากข้อบกพร่องเหล่านี้ในป่าได้”
สำหรับส่วนของมัน เมื่อถูกถามโฆษกให้คำแถลงทั่วไปโดยกล่าวว่า“ ในฐานะส่วนหนึ่งของกระบวนการมาตรฐานของเราเราจะตรวจสอบเหตุการณ์นี้ค้นหาพื้นที่เพื่อปรับปรุงและใช้การปรับปรุงเหล่านั้นอย่างกว้างขวาง” สิ่งนี้ทำให้เกิดคำถามที่สำคัญว่าผู้โจมตีเริ่มต้นอย่างเป็นทางการได้อย่างไร