وصله امنیتی ناموفق مایکروسافت، آخرین پیروزی برای هکرهای چینی

سال گذشته، ساتیا نادلا متعهد شد که امنیت را به اولویت شماره یک در مایکروسافت تبدیل کند. یک هک جدید که چین نیز در آن نقش دارد، نشان می‌دهد که این کار چقدر دشوار است.

این حمله چندین نسخه از نرم‌افزار شیرپوینت (SharePoint) مایکروسافت را در بر می‌گیرد که به عنوان یک پلتفرم ذخیره‌سازی اسناد برای مشتریانی که نمی‌خواهند از فضای ابری (Cloud) استفاده کنند، عمل می‌کند. مایکروسافت اوایل این ماه وصله‌هایی را برای دو اشکال (Bug) شیرپوینت منتشر کرد، اما به گفته محققان امنیتی، این اصلاحات به سرعت دور زده شدند و به هکرهای مرتبط با چین اجازه دادند تا به صدها سازمان نفوذ کنند.

محققان گفتند که به جای محافظت از مشتریان، وصله‌های معیوب ممکن است به عنوان یک نقشه راه برای هکرها عمل کرده باشند تا حملات خود را تقویت کنند.

این مورد، جدیدترین مورد از رشته‌ای از اشتباهات غول فناوری است که به عملیات گسترده و جهانی جاسوسی سایبری چین سود رسانده و تهدیدی جدی برای امنیت ملی ایالات متحده محسوب می‌شود.

سال گذشته، وزارت امنیت داخلی گزارشی تند منتشر کرد که جزئیات اشتباهات مایکروسافت را در جریان هک سال ۲۰۲۳ که طی آن چین هزاران ایمیل از مقامات ارشد دولتی را سرقت کرد، شرح می‌داد. دو سال قبل از آن، حمله‌کنندگان سایبری مرتبط با چین به بیش از ۲۵۰,۰۰۰ سرور مایکروسافت اکسچنج (Exchange) نفوذ کرده بودند.

جف گرین، مقام ارشد سابق امنیت سایبری ایالات متحده که در نگارش گزارش تند سال گذشته در مورد اشتباهات مایکروسافت کمک کرده بود، گفت: «آنها بیش از حد بزرگ هستند که بتوانند به این شکل به شکست ادامه دهند. در حالی که من آنها را به خاطر تمرکز بر امنیت پس از گزارش ما تحسین می‌کنم، باید بهتر عمل کنند و به صورت عمومی نشان دهند که چگونه بهتر عمل می‌کنند.»

در پاسخ به گزارش سال گذشته، نادلا قول داد که مایکروسافت را دوباره به حفاظت از محصولات و مشتریان خود در برابر عاملان بدکار متعهد کند، چیزی که او آن را ابتکار آینده امن (Secure Future Initiative) نامید.

آن جانسون، معاون مدیر ارشد امنیت اطلاعات مایکروسافت، گفت: «به عنوان بخشی از ابتکار آینده امن خود، ما متعهد به بهبود مستمر در پاسخ و رفع مشکلات امنیتی هستیم.» او اشاره کرد که این شرکت اصلاحات جدید خود را برای اشکالات ظرف ۷۲ ساعت پس از اطلاع از حمله منتشر کرد، مستقیماً با مشتریان تماس گرفت و دو پست وبلاگی در این مورد منتشر کرد.

او گفت: «بازخوردهایی که از مشتریان دریافت کرده‌ایم، عمدتاً مثبت بوده است.»

مایکروسافت سال‌هاست با چالش‌های امنیتی جدی مواجه است که بسیاری از آنها حول نرم‌افزارها و محصولاتش برای مشتریانی می‌چرخند که سرورهای خود را اداره می‌کنند. مدت کوتاهی پس از به دست گرفتن سکان رهبری توسط نادلا، مایکروسافت گروهی را که مسئولیت امنیت در سراسر شرکت را بر عهده داشت، حذف کرد و تصمیمات امنیتی را به واحدهای تجاری جداگانه واگذار نمود.

تقریباً در همان زمان، مایکروسافت نحوه توسعه نرم‌افزار را تغییر داد و بسیاری از مهندسان آزمایش را که مسئول کشف اشکالات قبل از عرضه محصولات به مشتریان بودند، اخراج کرد.

کارمندان سابق و محققان امنیتی می‌گویند که این اقدامات مایکروسافت را چابک‌تر و قادرتر به رقابت در حوزه‌های رایانش ابری و هوش مصنوعی کرده است، اما هزینه‌ای به همراه داشته، به ویژه برای کاربران غیرابری محصولاتی مانند شیرپوینت.

تا روز چهارشنبه، محققان گفتند که بیش از ۴۰۰ سرور شیرپوینت هک شده‌اند – که بسیاری از آنها متعلق به نهادهای دولتی بودند – و مایکروسافت برخی از این حملات را به دولت چین مرتبط کرده است. سخنگوی وزارت امور خارجه چین این ادعاها را به عنوان تهمت توصیف کرد.

حادثه شیرپوینت انتقادات تازه‌ای را متوجه مایکروسافت کرده است، شرکتی که تلاش کرده نگرانی‌های ایالات متحده را مبنی بر عدم اولویت‌بندی امنیت سایبری و تمرکز بر گسترش کسب‌وکار هوش مصنوعی و به حداکثر رساندن سود، کاهش دهد.

سناتور ران وایدن (نماینده دموکرات، اورگان)، از حامیان برجسته امنیت سایبری در کنگره، گفت: «نهادهای دولتی به شرکتی وابسته شده‌اند که نه تنها به امنیت اهمیتی نمی‌دهد، بلکه میلیاردها دلار از فروش خدمات امنیت سایبری برتر برای رفع نقص‌های محصولاتش کسب درآمد می‌کند. دولت هرگز از این چرخه فرار نخواهد کرد مگر اینکه پاداش دادن به مایکروسافت به خاطر بی‌مبالاتی‌هایش با قراردادهای بزرگ‌تر و بزرگ‌تر را متوقف کند.»

در موارد قبلی، مانند هک گسترده سیستم ایمیل مایکروسافت اکسچنج در سال ۲۰۲۱، چین قبل از دستگیر شدن، کارهای فنی چشمگیری انجام داده بود. با این حال، در حمله شیرپوینت، موضوع از ماه می در یک مسابقه هک در برلین آغاز شد؛ جایی که محقق ویتنامی، دین خوآ، ۱۰۰,۰۰۰ دلار و یک لپ‌تاپ برنده شد.

خوآ در مصاحبه‌ای که پس از مسابقه آنلاین منتشر شد، گفت: «این یک هدف بسیار دشوار است، بنابراین ما زمان زیادی را صرف بررسی آن کردیم.»

با تشویق حضار، او نحوه نفوذ به سیستم شیرپوینت را نشان داد و به زودی به یک اتاق خصوصی هدایت شد؛ جایی که اشکالات را برای نماینده‌ای از مایکروسافت و داستین چایلدز، رئیس بخش آگاهی از تهدیدات در شرکت امنیت سایبری Trend Micro’s Zero Day Initiative (ابتکار روز صفر ترند میکرو) توضیح داد. دو ماه بعد، در ۸ جولای، مایکروسافت اشکالات را برطرف کرد. این دو اشکال از ۱۳۰ اشکالی بودند که مایکروسافت در آن ماه برطرف کرد.

اگرچه این دو اشکال با هم ترکیب شده بودند تا یک سرور شیرپوینت را در مقابل حدود ۵۰ نفر، تنها دو ماه پیش، هک کنند، مایکروسافت اعلام کرد که احتمال استفاده از یکی از این اشکالات در یک حمله واقعی «اثبات نشده» است.

چایلدز گفت که این موضوع برای او عجیب بود. او گفت: «ما یک بهره‌برداری عملیاتی به آنها دادیم.»

هم مایکروسافت و هم ترند میکرو بعداً گفتند که هکرها در واقع از ۷ جولای، یک روز قبل از انتشار وصله‌ها، بهره‌برداری از این اشکالات را آغاز کرده بودند. چایلدز گفت مشخص نیست که این هکرها چگونه از این نقص‌ها مطلع شده‌اند. ترند میکرو گفت که یک شرکت فناوری – که از شناسایی آن خودداری کرد – در حمله‌ای که مشاهده کردند، به خطر افتاده است.

در روزهای پس از انتشار وصله‌های مایکروسافت، محققان امنیتی آنها را بررسی کردند تا در مورد نحوه عملکرد هک دین خوآ اطلاعات بیشتری کسب کنند. به گفته این شرکت، در ۹ جولای، مایکروسافت متوجه شد که امکان دور زدن وصله‌هایش وجود دارد و شروع به آماده‌سازی اصلاحات جدید کرد. ظرف یک هفته، محققان علناً ادعا کردند که راه دور زدن را نیز یافته‌اند. جمعه گذشته، یک محقق امنیتی به صورت عمومی نشان داد که این کار چگونه ممکن است. او گفت که تکنیک خود را با کمک فناوری هوش مصنوعی جمنی (Gemini) گوگل کشف کرده است.

پیت کرخوفس، مدیر ارشد فناوری در شرکت امنیت سایبری Eye Security، گفت: «آن پست باعث شد که مخاطبان بیشتری نیز بتوانند این کار را انجام دهند.»

همان جمعه، محققان Eye Security یک اسکریپت غیرمجاز را در یک سرور شیرپوینت متعلق به یکی از مشتریان خود کشف کردند. همانطور که تیم Eye Security بررسی را ادامه داد، همان اسکریپت را در حدود ۱۵۰ سرور شیرپوینت دیگر در سراسر اینترنت یافتند.

این اسکریپت یک در پشتی (Backdoor) به سرورهای شیرپوینت باز می‌کرد و یک کلید رمزنگاری ایجاد می‌کرد که بعداً می‌توانست برای اجرای دستورات روی دستگاه استفاده شود. کرخوفس گفت: «این درست مانند یک کلید در بود که در خیابان رها شده باشد. برای همه قابل دسترسی بود. ما فقط شروع به اسکن کردیم و تمام کلیدها را به دست آوردیم.»

حالا واضح بود: هکرها در سراسر جهان به شیرپوینت نفوذ می‌کردند.

مایکروسافت با اطلاع از اینکه هکرها در حال بهره‌برداری از اشکالات بودند، تیم امنیتی خود را فراخواند. آنها در طول آخر هفته کار کردند و مجموعه جدیدی از وصله‌ها را با عجله منتشر کردند.

تا آن شب، تیم کرخوفس ۸۰ سازمان آلوده را کشف کرده بودند. آژانس‌های دولتی اروپایی، و همچنین آژانس‌های فدرال ایالات متحده، شهرداری‌ها و دانشگاه‌ها به خطر افتاده بودند.

روز شنبه، مایکروسافت گام غیرعادی صدور دو وصله اضطراری را برداشت که شامل «محافظت‌های قوی‌تری» برای اشکالاتی است که خوآ کشف کرده بود، به گفته این شرکت. مایکروسافت همچنین اعلام کرد که مشتریان شیرپوینت باید کلیدهای رمزنگاری مورد استفاده توسط سرورهایشان را نیز تغییر دهند، اقدامی که – در ترکیب با وصله‌های جدید – به طور موثری در پشتی ایجاد شده توسط حمله را می‌بندد.

مایکروسافت گفت که برخی از حملات بر روی ماشین‌های وصله نشده (unpatched machines) بوده است. جانسون، معاون مدیر ارشد امنیت اطلاعات این شرکت، گفت که او وصله‌های ۸ جولای را یک شکست نمی‌داند زیرا آنها حمله‌ای را که در Pwn2Own، مسابقه هک برلین، نشان داده شد، مسدود کردند.

روز چهارشنبه، وزارت انرژی تایید کرد که قربانی این حمله بوده است، اما گفت که از آن زمان سیستم‌های خود را بازیابی کرده و از هیچ گونه به خطر افتادن اطلاعات طبقه‌بندی شده یا حساس اطلاعی ندارد. خبر این آسیب‌پذیری پیشتر توسط بلومبرگ گزارش شده بود، که گفته بود سازمان ملی امنیت هسته‌ای به طور خاص قربانی شده است.

برای رابرت مک‌میلان به [email protected] و برای داستین وولتز به [email protected] ایمیل بنویسید.