Microsoft підозрює витік із MAPP, що відкрив китайським хакерам вікно для атак на SharePoint

Вразливості SharePoint масово експлуатували напередодні патча. Під підозрою — витік із програми раннього сповіщення MAPP, де є й китайські компанії.



Що сталося

Microsoft розслідує, чи не витекла з Microsoft Active Protections Program (MAPP) інформація про ще не виправлені баги в SharePoint, що дозволило китайським APT-групам (Linen Typhoon, Violet Typhoon, Storm‑2603) почати експлуатацію за день до публічного патча (7 липня).

Постраждало 400+ державних установ і компаній по всьому світу, серед них Національне управління ядерної безпеки США (NNSA).

Аналогічні інциденти вже були: 2012 (Hangzhou DPtech виключили з MAPP) і 2021 (підозри щодо витоків по Exchange/Hafnium).

Чому це важливо

MAPP задумана як щит, який дає оборонцям до 5 днів фору перед релізом патча. Якщо витоки підтвердяться, щит перетворюється на інструмент для нападників.

Комплаєнс-колізія в Китаї: закон 2021 року зобов’язує компанії повідомляти державі про вразливості за 48 годин — це структурний ризик для довіри до глобальних програм розкриття вразливостей.

Ризик “0-day farming”: атакувальники чекають сигналів про майбутні патчі, щоб масово експлуатувати у «T‑1 день».

Коротка хронологія

Травень 2025: дослідник з Viettel демонструє 0-day для SharePoint на Pwn2Own, передає whitepaper Microsoft.

~60 днів: Microsoft готує виправлення.

7 липня (T‑1 до патча): старт масових атак по SharePoint.

25 липня: стає публічно відомо про можливий витік із MAPP; Microsoft починає внутрішнє розслідування.

Невирішені питання

Де саме “дірка” в ланцюгу довіри? (учасники MAPP, субпідрядники, внутрішні процеси Microsoft).

Чи будуть виключення/санкції проти підозрюваних партнерів MAPP?

Чи переглядатимуться строки й обсяг даних, що надаються через MAPP?

Як Microsoft збалансує швидке попередження захисників та ризик передчасної деанонімізації уразливостей для зловмисників?

Що робити організаціям (чекліст CISO)

Негайно

  1. Переконайтесь, що всі останні SharePoint‑патчі встановлені.
  2. Проінвентаризуйте публічно доступні SharePoint-сервіси; застосуйте VPN/Zero Trust сегментацію доступу.
Полювання за загрозами (threat hunting):
  1. аномальні запити до _layouts/15 та специфічних API SharePoint;
  2. нові/підозрілі облікові записи, зміни в дозволах сайт-колекцій;
  3. веб-шели / незвичні DLL/ASPX-файли у веб-дереві SharePoint.

Журнали: централізуйте та корелюйте IIS, Windows Event, Defender for Identity / Sentinel (або аналог).

IOCs/TTPs з публікацій Microsoft та партнерів — негайно додати до SIEM/EDR правил.

Середньостроково

Впровадьте (або посильте) процес “T‑minus patch day”: підвищений моніторинг і тимчасові політики ізоляції активів у дні перед Patch Tuesday.

App Allow Listing та EDR в режимі Block на SharePoint‑серверах.

Контроль секретів і доступів: ротація ключів/токенів, MFA/Phishing‑resistant MFA для адміністраторів.

Верифікація ланцюга постачання безпеки: хто ваші зовнішні «ранні попереджувачі», як ви контролюєте витоки?

Стратегічно

Політика розкриття вразливостей та участі в програмах на кшталт MAPP: вимагайте технічних і юридичних запобіжників, аудити, “need-to-know” сегментацію даних.

Adversary Emulation: моделюйте атаки під Linen/Violet Typhoon, Storm‑2603; тестуйте виявлення до та після патчів.

Zero Trust для критичної інфраструктури Microsoft 365/SharePoint: мінімальні привілеї, Just‑In‑Time адмін‑доступи (PIM), умовні політики доступу.

Ревізія MAPP: скорочення вікна попередження, диференціація обсягу технічних деталей, жорсткіший due diligence та постійний моніторинг партнерів.

Телеметрія та прозорість: швидкі IOC/TTP оновлення для клієнтів, чіткі таймлайни інциденту.

“Secure by design” для SharePoint on‑prem & Online: посилити дефолтні політики ізоляції, експлуатаційну телеметрію, автоматизовані вбудовані блокування.


Ця новина була опублікована у розділі: Світові новини, Технології, Бізнес, Новини бізнесу, із заголовком: "Microsoft підозрює витік із MAPP, що відкрив китайським хакерам вікно для атак на SharePoint".

Матеріал підготував(-ла): Тетяна Федорів

Новину опубліковано: 27 липня 2025 року.

Оновлення в публікації відсутні. Якщо з'являться зміни, про це буде зазначено та описано у кінці публікації.


Останні новини

Вибір редакції

Що відбувається в суспільстві:

Закупівля бронежилетів за подвійною ціною: суд виніс вирок у справі про мільйонні збитки для «Укренерго»

ВАКС затвердив угоду зі ще одним фігурантом резонансної справи про закупівлю бронежилетів для «Укренерго». Обвинувачений визнав провину, погодився відшкодувати мільйонні збитки та надати викривальні свідчення.

Зарплати в Україні стрімко перевищили 30 тисяч гривень: хто отримує майже 77 тисяч на місяць, а хто залишається серед найменш оплачуваних

Середня заробітна плата в Україні продовжує зростати та вже перевищила психологічну позначку у 30 тисяч гривень. Проте різниця між регіонами й галузями залишається колосальною, а мільярдні борги із виплати зарплат лише загострюють проблему.

Названо країну з найчистішими пляжами у світі: вона вдруге поспіль стала абсолютним лідером

Опубліковано новий світовий рейтинг пляжів із міжнародною екологічною відзнакою Blue Flag — перше місце знову посіла країна, яка випередила Грецію, Туреччину та Італію

Військовим почали нараховувати нові доплати: хто вже у липні отримає додаткові 10 тисяч гривень і від чого залежить сума виплат

У Міністерстві оборони пояснили, як нараховуватимуть нові виплати військовослужбовцям. Додаткові 10 тисяч гривень за службу в тилу за червень виплачують окремо, а бойові надбавки залежатимуть від підтвердження виконаних завдань та наказів командирів.

Покоління Z обурюється цими правилами життя: 10 реалій дорослості, які рано чи пізно доводиться прийняти кожному

Робота без мрії, телефонні дзвінки, компроміси у стосунках і повільний шлях до успіху — експерти пояснили, чому саме ці речі молодь найчастіше називає несправедливими, хоча вони є невід'ємною частиною дорослого життя.

Масований удар по енергосистемі України: після нічної атаки без світла залишилися жителі шести областей

Після комбінованої ракетно-дронової атаки Росії в кількох регіонах України зафіксували нові знеструмлення. В «Укренерго» повідомили про пошкодження об'єктів енергетичної інфраструктури та початок аварійно-відновлювальних робіт.

Європейські новини:

«Припиніть усю торгівлю»: Трамп жорстко розкритикував Іспанію та закликав розірвати відносини

Президент США назвав Іспанію «безнадійною», звинуватив її у неналежному виконанні зобов’язань перед НАТО та запропонував припинити торгівлю й офіційні контакти

НАТО готує найбільше розширення паливної мережі з часів холодної війни: східний фланг отримає захист на випадок кризи

Союзники наблизилися до масштабної угоди про продовження військової паливної інфраструктури до Східної Європи та Туреччини, що може коштувати десятки мільярдів доларів.

Україна наближається до нового етапу інтеграції з ЄС: шостий кластер можуть відкрити вже 14 липня

Європейський Союз готується відкрити для України та Молдови переговорний кластер «Зовнішні відносини», що стане черговим важливим кроком на шляху до членства в ЄС.