微軟出手了!中國企業失去資安漏洞「搶先看」
《彭博》周三 (20 日) 援引知情人士消息報導,微軟 (MSFT-US) 近日調整旗下「主動防護計畫」(MAPP),縮減中國參與廠商對於資安漏洞的提前知情權。這項舉措是在調查一起涉及 SharePoint 伺服器大規模駭侵事件後做出的,該攻擊行動已造成超過 400 個美國政府單位與企業遭殃,包括美國核子武器設計維護機構「國家核子安全局」。
微軟表示,未來在涉及「必須依法回報漏洞予政府」的國家,相關企業將不再取得完整的技術細節與「概念驗證」(proof-of-concept) 程式碼,而僅能在修補程式釋出當下獲得一般性書面描述。此舉將直接影響至少十多家中國科技與資安公司。
涉嫌洩密疑雲引爆改革
微軟的 MAPP 原意在於提前向防毒軟體與資安廠商透露產品漏洞,協助他們及早更新防護。然而近年多起駭侵行動讓微軟懷疑合作單位可能存在洩密。
微軟並未公開確認 SharePoint 攻擊是否與中國合作夥伴洩漏有關,但指出已存在「多種可能原因」的研判。過去早有前例:2012 年微軟就曾指控杭州迪普科技違反協議,洩漏 Windows 重大漏洞;2021 年更懷疑至少兩家中國 MAPP 合作夥伴洩漏了 Exchange 伺服器漏洞,進而引發全球性駭攻,並歸咎於中國間諜組織「Hafnium」。
鑑於中國自 2021 年起強制要求企業或研究人員在 48 小時內回報漏洞給工信部,外界更憂心中國合作方難以拒絕政府壓力。美國資安公司 SentinelOne 顧問 Dakota Cary 直言:「中國廠商勢必回應政府激勵,微軟限制資訊分享是正確之舉。」
關閉中國透明中心 中止源碼存取
除 MAPP 調整外,微軟也首度證實,早前設於中國的「透明中心」已全面關閉。這些設施原本允許中國官方檢視 Windows 等產品源碼,以確保系統未暗藏「後門」。微軟發言人 David Cuddy 表示,自 2019 年起就無人造訪這些中心,實際上「早已退役」。
微軟自 2003 年起便是首家允許中國政府檢視源碼的商業軟體公司,當時目的是建立信任。然而,隨著地緣政治與資安環境惡化,這項合作如今成為過去式。
中美資安角力持續升溫
中國駐美大使館回應稱,並不清楚 MAPP 調整細節或是否涉及洩密,但強調「網路安全是各國共同挑戰,應透過對話合作解決」。
分析指出,隨著美中在網路空間的摩擦升高,美國科技巨頭勢必更謹慎對待中國市場。微軟此舉不僅是資安保護,也是對 中方法規與國家安全策略的防範。未來隨著全球駭攻事件頻仍,如何在推動國際合作與防範國家級威脅間取得平衡,將是科技業與政府共同面對的課題。
更多鉅亨報導
•〈美股早盤〉主要指數漲跌互現 投資人觀望零售財報與Fed會議紀要
•路透:美海軍對抗中國推無人艦隊 卻傳測試頻出包