שבועות לאחר המתקפה על SharePoint: במיקרוסופט בחרו את העונש לסינים
בעקבות החשד שהדליפו מידע לתוקפים, ב-Microsoft החליטו לצמצם את המידע שישותף עם החברות הסיניות כחלק מתכנית MAPP
תמונה: Dreamstime
שבועות לאחר מתקפת הסייבר על שרתי Microsoft SharePoint, בחברה החליטו להפסיק ולשתף חברות סיניות בקוד PoC לפרצות אבטחה, כך על פי דיווחים שונים ברשת. ההחלטה מגיעה, ככל הנראה, על רקע החשש שהמידע ששיתפה עם החברות הסיניות כחלק מתכנית האבטחה שלה (MAPP) הודלף לידי התוקפים.
על פי הדיווחים, אותן חברות שנחשדות בשיתוף הפעולה עם התוקפים יקבלו מעתה רק תיאור טכני כתוב, במקום קוד לדוגמה שמראה איך לנצל את הפרצות. כזכור, בחודש שעבר התבצעו מספר תקיפות על SharePoint, שבהן נפרצו מאות שרתים בעולם, חלקם עוד לפני שמיקרוסופט הספיקה להשלים את התיקון.
התוקפים הצליחו להריץ קוד מרחוק, לעקוף מנגנוני אימות משתמשים ולגנוב מפתחות הצפנה רגישים. מיקרוסופט הודתה שהטלאי הראשוני שפרסמה לא היה מספיק, ועד שהתיקון המלא הגיע ההאקרים כבר חגגו. במיקרוסופט זיהו שלוש קבוצות סיניות מעורבות: Linen Typhoon, Violet Typhoon ו-Storm-2603. חלקן ותיקות ומוכרות, שפועלות כבר שנים נגד ממשלות, אקדמיה וארגוני NGO. אחרות מקושרות גם לעולם הכופרות.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
תוכנית MAPP נועדה לשתף מידע מוקדם על פרצות אבטחה עם שותפים מהימנים, לרוב שבועיים לפני Patch Tuesday. בכך הם יכולים לעדכן מוצרי הגנה מבעוד מועד. השותפים חותמים על הסכמי סודיות (NDA), והמטרה היא להגן על המשתמשים עוד לפני הפצת הטלאים.
לאחר הפריצה אמר דובר מיקרוסופט כי "אנחנו מודעים לסכנה שהמידע ינוצל לרעה, ולכן נוקטים צעדים פומביים וסודיים כדי למנוע זאת. אנחנו בוחנים באופן מתמשך את החברים בתוכנית, ומשעים או מסירים שותפים שמפרים את ההסכם".
החברה הדגישה שהיא עדיין רואה ערך בתוכנית ה-MAPP שלה, שמאפשרת לשותפים אמינים להתכונן מראש לפרצות עתידיות. אבל מעכשיו, במדינות שמחייבות דיווח פרצות לרשויות (כמו סין) החברות יקבלו מידע חלקי בלבד.
