Microsoft підозрює витік із MAPP, що відкрив китайським хакерам вікно для атак на SharePoint

Вразливості SharePoint масово експлуатували напередодні патча. Під підозрою — витік із програми раннього сповіщення MAPP, де є й китайські компанії.



Що сталося

Microsoft розслідує, чи не витекла з Microsoft Active Protections Program (MAPP) інформація про ще не виправлені баги в SharePoint, що дозволило китайським APT-групам (Linen Typhoon, Violet Typhoon, Storm‑2603) почати експлуатацію за день до публічного патча (7 липня).

Постраждало 400+ державних установ і компаній по всьому світу, серед них Національне управління ядерної безпеки США (NNSA).

Аналогічні інциденти вже були: 2012 (Hangzhou DPtech виключили з MAPP) і 2021 (підозри щодо витоків по Exchange/Hafnium).

Чому це важливо

MAPP задумана як щит, який дає оборонцям до 5 днів фору перед релізом патча. Якщо витоки підтвердяться, щит перетворюється на інструмент для нападників.

Комплаєнс-колізія в Китаї: закон 2021 року зобов’язує компанії повідомляти державі про вразливості за 48 годин — це структурний ризик для довіри до глобальних програм розкриття вразливостей.

Ризик “0-day farming”: атакувальники чекають сигналів про майбутні патчі, щоб масово експлуатувати у «T‑1 день».

Коротка хронологія

Травень 2025: дослідник з Viettel демонструє 0-day для SharePoint на Pwn2Own, передає whitepaper Microsoft.

~60 днів: Microsoft готує виправлення.

7 липня (T‑1 до патча): старт масових атак по SharePoint.

25 липня: стає публічно відомо про можливий витік із MAPP; Microsoft починає внутрішнє розслідування.

Невирішені питання

Де саме “дірка” в ланцюгу довіри? (учасники MAPP, субпідрядники, внутрішні процеси Microsoft).

Чи будуть виключення/санкції проти підозрюваних партнерів MAPP?

Чи переглядатимуться строки й обсяг даних, що надаються через MAPP?

Як Microsoft збалансує швидке попередження захисників та ризик передчасної деанонімізації уразливостей для зловмисників?

Що робити організаціям (чекліст CISO)

Негайно

  1. Переконайтесь, що всі останні SharePoint‑патчі встановлені.
  2. Проінвентаризуйте публічно доступні SharePoint-сервіси; застосуйте VPN/Zero Trust сегментацію доступу.
Полювання за загрозами (threat hunting):
  1. аномальні запити до _layouts/15 та специфічних API SharePoint;
  2. нові/підозрілі облікові записи, зміни в дозволах сайт-колекцій;
  3. веб-шели / незвичні DLL/ASPX-файли у веб-дереві SharePoint.

Журнали: централізуйте та корелюйте IIS, Windows Event, Defender for Identity / Sentinel (або аналог).

IOCs/TTPs з публікацій Microsoft та партнерів — негайно додати до SIEM/EDR правил.

Середньостроково

Впровадьте (або посильте) процес “T‑minus patch day”: підвищений моніторинг і тимчасові політики ізоляції активів у дні перед Patch Tuesday.

App Allow Listing та EDR в режимі Block на SharePoint‑серверах.

Контроль секретів і доступів: ротація ключів/токенів, MFA/Phishing‑resistant MFA для адміністраторів.

Верифікація ланцюга постачання безпеки: хто ваші зовнішні «ранні попереджувачі», як ви контролюєте витоки?

Стратегічно

Політика розкриття вразливостей та участі в програмах на кшталт MAPP: вимагайте технічних і юридичних запобіжників, аудити, “need-to-know” сегментацію даних.

Adversary Emulation: моделюйте атаки під Linen/Violet Typhoon, Storm‑2603; тестуйте виявлення до та після патчів.

Zero Trust для критичної інфраструктури Microsoft 365/SharePoint: мінімальні привілеї, Just‑In‑Time адмін‑доступи (PIM), умовні політики доступу.

Ревізія MAPP: скорочення вікна попередження, диференціація обсягу технічних деталей, жорсткіший due diligence та постійний моніторинг партнерів.

Телеметрія та прозорість: швидкі IOC/TTP оновлення для клієнтів, чіткі таймлайни інциденту.

“Secure by design” для SharePoint on‑prem & Online: посилити дефолтні політики ізоляції, експлуатаційну телеметрію, автоматизовані вбудовані блокування.


Ця новина була опублікована у розділі: Світові новини, Технології, Бізнес, Новини бізнесу, із заголовком: "Microsoft підозрює витік із MAPP, що відкрив китайським хакерам вікно для атак на SharePoint".

Матеріал підготував(-ла): Тетяна Федорів

Новину опубліковано: 27 липня 2025 року.

Оновлення в публікації відсутні. Якщо з'являться зміни, про це буде зазначено та описано у кінці публікації.


Останні новини

Вибір редакції

Що відбувається в суспільстві:

Туск звернувся до поляків і українців із важливим закликом: прем'єр попередив про небезпечний сценарій

Прем'єр-міністр Польщі Дональд Туск закликав українців до переосмислення історичних подій, пов'язаних із Волинською трагедією, а поляків — не піддаватися надмірним емоціям.

Одна кнопка на павербанку, яка змінює все: приховані функції, про які майже ніхто не знає

Більшість користувачів навіть не здогадуються, що кнопка на павербанку — це не просто “ввімкнути/вимкнути”. Вона може показувати заряд, змінювати режими та керувати живленням пристроїв

Держава запровадила нові виплати по 50 тисяч гривень: хто зможе отримувати додаткову допомогу

Кабінет Міністрів України розширив перелік осіб, які матимуть право на щомісячну виплату у 50 тисяч гривень після повернення з російського полону. Гроші призначатимуть тим, хто потребує тривалого стаціонарного лікування.

Зарплати понад 100 тисяч і бронювання від мобілізації: кому в Україні роботодавці готові платити найбільше

В Україні стрімко зростає кількість вакансій із можливістю бронювання. Роботодавці підвищують зарплати, а окремим фахівцям уже пропонують понад 100 тисяч гривень на місяць.

Вибухи у Вишневому: Зеленський розкрив, кому належав склад і кого чекає покарання

Президент заявив, що склад із боєприпасами перебував у структурі одного з підприємств «Укроборонпрому», а за наслідками розслідування очікуються кримінальні справи та кадрові рішення.

Названо найсильніші паспорти світу: Європа встановила рекорд, а США втратили колишні позиції

Новий Глобальний індекс паспортів 2026 показав абсолютне домінування європейських країн. Експерти пояснили, чому свобода подорожей уже не є головним критерієм оцінки.

Європейські новини:

Туск звернувся до поляків і українців із важливим закликом: прем'єр попередив про небезпечний сценарій

Прем'єр-міністр Польщі Дональд Туск закликав українців до переосмислення історичних подій, пов'язаних із Волинською трагедією, а поляків — не піддаватися надмірним емоціям.

Європа готує Україні рекордний оборонний кредит: 60 мільярдів євро на британську зброю можуть змінити ситуацію на фронті

Європейський Союз наблизився до ухвалення масштабної програми оборонного кредитування України. Київ може отримати доступ до 60 мільярдів євро для закупівлі британського озброєння та військової техніки, що стане одним із найбільших фінансових рішень союзників від початку повномасштабної війни.

Польща зробила неочікуваний крок щодо МіГ-29: у Києва знову з’явився шанс отримати винищувачі

Перемовини про передачу польських МіГ-29 Україні отримали новий імпульс. Міністр оборони Польщі Владислав Косіняк-Камиш заявив, що сторони знову повернулися до діалогу, а шанси на успішне завершення домовленостей суттєво зросли.