Microsoft ограничила доступ некоторых китайских компаний к своей системе раннего оповещения о киберугрозах после серии атак, в которых использовались уязвимости в платформе Microsoft SharePoint. В результате атак, по оценкам экспертов, могли пострадать до 400 организаций.
Считается, что за атаками может стоять Пекин, а утечка информации связана с членом программы Microsoft Active Protections Program (MAPP). Эта программа создана для того, чтобы заранее предупреждать компании о новых уязвимостях, чтобы они успели подготовить защиту ещё до того, как злоумышленники их используют.
Обнаруженные уязвимости уже устранены, однако ранее с их помощью распространялось вредоносное ПО, включая программы для шифрования данных (ransomware). Ошибка позволяла злоумышленникам похищать криптографические ключи с серверов Microsoft, а затем устанавливать на них вредоносные программы и так называемые «чёрные ходы».
По мнению специалистов, вероятней всего, атаки стали возможны из-за действий недобросовестного участника программы MAPP. В связи с этим Microsoft перестанет отправлять китайским компаниям так называемый «proof of concept code» — демонстрационные коды, позволяющие защитникам подготовиться к возможным кибератакам.
С одной стороны, такие предупреждения позволяют компаниям лучше защищаться, но если злоумышленники узнают о мерах защиты заранее, они могут оперативно изменить свои методы нападения. В Microsoft признали эту угрозу: «Вот почему мы предпринимаем меры — как известные, так и секретные — чтобы не допустить злоупотреблений».
Компания также заявила, что регулярно пересматривает список участников программы и при обнаружении нарушений договора приостанавливает или отменяет для них доступ. В требованиях участия прямо указано, что запрещено использовать программу для наступательных атак.
На момент публикации Microsoft не прокомментировала детали расследования.
