【2025年08月21日訊】(記者林燕綜合報導)美國科技公司微軟於週三(8月20日)證實已經限制中國公司獲取其網絡安全漏洞通知的早期權限。之前,微軟一直在調查中共駭客是否通過其警報系統提前獲知SharePoint軟件漏洞。
彭博社週三報導說,微軟發言人大衛·庫迪(David Cuddy)在一份聲明中表示,微軟在7月份做出了一項調整,將限制「需要向政府報告漏洞的國家」的公司獲取微軟的內部早期通知,其中包括中國。
據悉,有十幾家中國公司參加了微軟的主動保護計劃(Microsoft Active Protections Program, MAPP),該計劃會提前24小時或更早為網絡安全供應商披露新發現的漏洞資訊。
7月7日,在微軟發出MAPP信息後,並在其公開公布修補程式前一天,中共黑客對SharePoint發起了攻擊。超過400個政府機構和企業在SharePoint攻擊中遭到入侵,其中包括負責設計和維護美國核武器的國家核安全局(NSP)。
微軟已經確認了中共政府支持的兩個黑客組織Linen Typhoon和Violet Typhoon參與了這次攻擊行動。微軟還觀察到另一個中國威脅行為體(threat actor),追蹤編號為Storm-2603。
目前尚不清楚中共黑客是如何發現SharePoint漏洞的。
根據新調整,微軟將不再向受此變更影響的MAPP參與者提供演示漏洞的「概念驗證」代碼。該公司發言人表示,取而代之的是,它將向他們提供關於漏洞的「更通用的書面描述」,並在發布修復漏洞補丁的同時發送。
「我們意識到這些信息可能被濫用,因此我們採取已知和保密的措施來防止濫用。」庫迪說,「我們會持續審查(MAPP)參與者,如果發現他們違反了與我們簽訂的合同,包括禁止參與攻擊行為,我們將暫停或移除他們的會員資格。」
美國網絡安全公司SentinelOne的中國顧問達科塔·卡里(Dakota Cary)告訴彭博社,微軟限制中國公司獲取網絡安全漏洞信息的決定是一個「重大改變」。
「很明顯,MAPP中的中國公司必須對(中共)政府的激勵措施做出響應。」他說,「因此,(微軟)限制提供的信息是合理的。」
中國公司洩露微軟漏洞有先例
早在2012年,微軟就指控MAPP的成員——中國網絡安全公司杭州迪普科技股份有限公司洩露Windows的一個重大漏洞信息。隨後,該公司被從MAPP中除名。
2021年,微軟懷疑至少另外兩家中國MAPP合作夥伴洩露了其Exchange服務器漏洞信息。該漏洞引發了一場全球黑客攻擊,微軟認為跟一個名為Hafnium的中共間諜組織有關。
彭博社此前報導,在2021年事件發生後,微軟曾考慮修改MAPP計劃,但並未透露最終是否做出了任何修改,也未公開是否發現了任何漏洞。
據美國智庫大西洋理事會的一份報告,中共2021年出台的一項法律要求,安全研究員或公司在發現漏洞後必須48小時內向政府報告。
中共政府網站顯示,一些仍留在MAPP計劃中的中國公司,例如北京賽博崑崙科技有限公司,同時也是中共政府漏洞項目——中國國家漏洞數據庫的成員。這可能導致MAPP成員將漏洞資訊分享給中共政府,進而增加被濫用的風險。
微軟已關閉在華透明中心
微軟還首次證實,他們還關閉了此前在中國設立的「透明中心」。該中心允許中共政府可以在此處審查該公司技術的源代碼,以確保其沒有可用於數字監控的隱藏「後門」。
庫迪表示,他們在中國的此類設施「早已退役」,而且「自2019年以來,就沒有人訪問過中國的任何此類設施」。
微軟自2003年起就允許中共政府訪問其源代碼,當時該公司自稱是「第一家向中國(中共)政府提供源代碼訪問權限的商業軟件公司」,並以此向北京保證Windows系統的安全性。
微軟最近的披露是在回應彭博社的一份新報導。該報導發現,與中共網絡間諜活動相關的中國組織與MAPP項目成員在武漢的同一個園區內工作。
責任編輯:林妍#
