Microsoft her yerden sızıntı veriyor: Çinli hackerlar açıkları nasıl kullanıyor?

Microsoft, SharePoint yazılımında yer alan bir güvenlik açığının, yazılım devinin erken uyarı sisteminden sızan bilgilerle Çinli hackerlar tarafından küresel ölçekte istismar edilmiş olabileceğini araştırıyor. Bloomberg'in haberine göre, söz konusu sızıntının Microsoft'un siber güvenlik şirketleriyle bilgi paylaşmak amacıyla oluşturduğu "Microsoft Active Protections Program" (MAPP) üzerinden gerçekleşmiş olabileceği öne sürülüyor.

Güvenlik yaması eksik kaldı

Microsoft’un bu ay yayımladığı güvenlik yaması, SharePoint sunucu yazılımındaki kritik açığı tam olarak kapatamadı. Bu durum, küresel ölçekte büyük bir siber casusluk operasyonunun önünü açtı. Şirket, Salı günü yayımladığı bir blog yazısında, "Linen Typhoon" ve "Violet Typhoon" isimleriyle bilinen iki Çin merkezli hacker grubunun ve yine Çin kökenli üçüncü bir grubun bu güvenlik açığını istismar ettiğini duyurdu.

Sızan bilgiler istismarı tetiklemiş olabilir

Microsoft, son günlerde dünya genelinde SharePoint açığının yoğun biçimde istismar edilmesine yol açan bilginin, MAPP programından sızmış olabileceği ihtimali üzerinde duruyor. Şirket, Reuters’a yaptığı açıklamada, tüm iş ortaklığı programlarının güvenliği ve etkinliğinin sürekli olarak değerlendirildiğini ve gerektiğinde gerekli iyileştirmelerin yapıldığını ifade etti.

Açık, ilk kez mayıs ayında duyuruldu

Vietnam merkezli siber güvenlik firması Viettel’den bir araştırmacı olan Dinh Ho Anh Khoa, söz konusu SharePoint açığını Mayıs ayında Berlin’de düzenlenen Pwn2Own siber güvenlik konferansında başarıyla ortaya koymuştu. Trend Micro'nun Zero Day Initiative programı tarafından düzenlenen bu etkinlikte, etik hacker'lar yazılım açıklarını bildirerek ödüllendiriliyor. Khoa, bu başarısıyla 100.000 dolar ödül kazandı.

Microsoft, açığın kapatılması için ilk yamayı Temmuz ayında yayımladı. Ancak, Zero Day Initiative’in Tehdit Farkındalık Başkanı Dustin Childs’a göre, MAPP programı üyelerine söz konusu açıklarla ilgili teknik bilgiler 24 Haziran, 3 Temmuz ve 7 Temmuz tarihlerinde iletildi. Microsoft, açığa yönelik ilk saldırı girişimlerini 7 Temmuz'da gözlemlediğini açıkladı.

MAPP içinden sızıntı iddiası güçleniyor

Childs, Reuters’a yaptığı açıklamada “en olası senaryonun, MAPP programındaki bir katılımcının bu bilgileri kullanarak zararlı yazılımlar geliştirmiş olması” olduğunu söyledi. Hangi şirketin sorumlu olduğu henüz netlik kazanmazken, saldırıların büyük bölümünün Çin’den geldiği göz önüne alındığında, sızıntının Çin merkezli bir güvenlik firması tarafından yapılmış olabileceği yönünde spekülasyonlar bulunuyor.

MAPP programı daha önce de sızıntı yaşamıştı

Bu durum, MAPP programının ilk kez bir sızıntıyla karşılaştığı anlamına gelmiyor. 2012 yılında Microsoft, Çinli teknoloji firması Hangzhou DPTech Technologies Co. Ltd.’nin gizlilik anlaşmasını ihlal ettiğini belirterek şirketi programdan çıkarmıştı. Microsoft, o dönem yaptığı bir blog açıklamasında, "Bu tür bilgilerin kötüye kullanılma ihtimalinin farkındayız. Bu riski en aza indirmek adına katılımcılarla güçlü gizlilik sözleşmeleri imzalıyoruz. Bu sözleşmelerin ihlalini çok ciddiye alıyoruz," ifadelerine yer vermişti.

Siber savunma için kurulan program tehdit altında

2008 yılında başlatılan MAPP, güvenilir siber güvenlik firmalarına Microsoft güncellemelerinden önce detaylı teknik bilgiler ve gerektiğinde örnek kodlar sağlayarak hackerlara karşı savunma avantajı kazandırmayı amaçlıyordu. Ancak olası bir sızıntı, programın güvenilirliğini zedeleyebilir ve saldırganlara kullanıcılar henüz yamaları uygulamadan önce harekete geçme fırsatı tanıyabilir.