微軟: 微軟形同虛設的安全補丁讓中國黑客再度得手

2025-07-25 | 來源: 華爾街日報 | 轉到微信 | 有0人參與評論 | 字體: 放大縮小 | 收藏 | 打印

越南研究人員丁·科亞在柏林黑客大賽Pwn2Own上。圖片來源：Trend Micro ZDI

在以往的一些事件中，例如2021年微軟Exchange電子郵件系統遭遇的大規模遭黑客攻擊，中方曾在被發現前展現令人印象深刻的技術實力。然而，在SharePoint所受攻擊中，問題的源頭可追溯至5月在柏林舉行的一場黑客競賽，當時越南研究人員丁·科亞(Dinh Khoa)贏得了10萬美元和一台筆記本電腦。

“這是一個非常難攻克的目標，所以我們花了很多時間深入研究，”科亞在賽後發布到網上的一段采訪中說。

他在觀眾的掌聲中展示了如何攻破一個SharePoint系統，並很快被帶到一個單間，向微軟的一名代表和網絡安全公司趨勢科技(Trend Micro)旗下零日計劃(Zero Day Initiative)的威脅感知負責人達斯汀·查爾茲(Dustin Childs)解釋了這些漏洞。兩個月後，也就是7月8日，微軟修復了相關漏洞。它們是微軟當月修復的130個漏洞中的兩個。

盡管就在兩個月前，這兩個漏洞剛被人當著約50名觀眾的面組合起來用以攻擊一台SharePoint服務器，但微軟方面卻表示，其中一個漏洞被用於實際攻擊的可能性“未經證實”。

“一個現成可用的攻擊工具”

伊朗的新打擊目標:微軟和亞馬遜數據中心

微軟推出"多模協作"研究智能體 GPT與Claude並肩

微軟、英偉達等科技巨頭將被軍事打擊?伊朗發...

查爾茲表示，他覺得微軟的説法有些耐人尋味。“我們當時可是給出了一個現成可用的攻擊工具，”他說。

微軟和趨勢科技後來都表示，黑客實際上在7月7日，也就是補丁發布的前一天，就已經開始利用這些漏洞。查爾茲說，目前尚不清楚涉事黑客是如何得知這些漏洞的。趨勢科技表示，在其觀察到的攻擊中，有一家科技公司遭到了入侵，但未透露該科技公司的名稱。

在微軟發布補丁後的幾天裡，安全研究人員對補丁進行了檢查，以更多地了解丁·科亞的黑客攻擊是如何運作的。微軟公司稱，7月9日，微軟得知其補丁可以被繞過，公司開始准備新的修復程序。不到一周，研究人員也公開聲稱找到了繞過補丁的方法。上周五，一名安全研究員公開展示了如何做到這一點。他說，他是在谷歌(Google)的Gemini人工智能(AI)技術的幫助下發現這一方法的。

“那篇帖子讓更多的人也能做到這一點，”網絡安全公司Eye Security的首席技術官皮特·克爾霍夫斯(Piet Kerkhofs)說。

就在同一個周五，Eye Security的研究人員在他們一個客戶的SharePoint服務器上發現了一個未經授權的腳本。隨著Eye Security團隊深入調查，他們開始在互聯網上約150台其他SharePoint服務器上發現了相同的腳本。