Помог ли слив информации от поставщика злоумышленникам взломать серверы Microsoft SharePoint?

Инициатива "Zero Day Initiative", занимающаяся отслеживанием уязвимостей, была запущена в 2005 году как подразделение компании 3Com, а затем в 2015 году приобретена компанией Trend Micro, занимающейся кибербезопасностью.

Однако, как сообщает The Register, глава отдела осведомленности об угрозах выражает обеспокоенность источником информации об эксплойте серверов Microsoft SharePoint. Как злоумышленникам, в числе которых китайские правительственные шпионы, крадущие данные и операторы программ-вымогателей, удалось разработать эксплойт для CVE SharePoint таким образом, чтобы обойти обновления безопасности, выпущенные Microsoft на следующий день? "Произошла утечка где-то", – заявил Дастин Чайлдс (Dustin Childs), глава отдела осведомленности об угрозах в Trend Micro's Zero Day Initiative. "И теперь в сети появился эксплойт нулевого дня, а что еще хуже – эксплойт нулевого дня, который обходит патч, выпущенный на следующий день..."

"Patch Tuesday" (день выпуска обновлений) приходится на второй вторник каждого месяца – в июле это было 8-е число. Однако за две недели до этого Microsoft предоставляет некоторые обновления безопасности участникам программы Microsoft Active Protections Program (MAPP) в рамках раннего доступа. Эти участники обязаны подписать соглашение о неразглашении информации об уязвимостях, которые будут опубликованы в ближайшее время, и Microsoft предоставляет им ранний доступ к информации об уязвимостях, чтобы они могли быстрее предоставить своим клиентам обновленные средства защиты.

Один из исследователей предполагает, что утечка могла быть не единственным путем к разработке эксплойта. "Соруш Далили (Soroush Dalili) смог использовать Gemini от Google, чтобы воспроизвести цепочку эксплойтов, поэтому возможно, что злоумышленники провели собственное исследование или сделали что-то подобное Далили, работая с одной из передовых больших языковых моделей, таких как Google Gemini, o3 от OpenAI или Claude Opus, или другой LLM, чтобы помочь определить пути эксплуатации", – рассказал Сатнам Наранг (Satnam Narang), старший инженер группы специальных операций Tenable Research. "Трудно сказать, какие домино должны были упасть, чтобы эти злоумышленники могли использовать эти недостатки в реальных условиях", – добавил Наранг.

Тем не менее, Microsoft не предоставила никаких рекомендаций MAPP для двух последних уязвимостей, CVE-2025-53770 и CVE-2025-53771, которые связаны с ранее раскрытыми CVE-2025-49704 и CVE-2025-49706. "Это может означать, что они больше не считают MAPP надежным источником, поэтому они вообще не предоставляют никакой информации", – предположил Чайлдс.