Що сталося
Microsoft розслідує, чи не витекла з Microsoft Active Protections Program (MAPP) інформація про ще не виправлені баги в SharePoint, що дозволило китайським APT-групам (Linen Typhoon, Violet Typhoon, Storm‑2603) почати експлуатацію за день до публічного патча (7 липня).
Постраждало 400+ державних установ і компаній по всьому світу, серед них Національне управління ядерної безпеки США (NNSA).
Аналогічні інциденти вже були: 2012 (Hangzhou DPtech виключили з MAPP) і 2021 (підозри щодо витоків по Exchange/Hafnium).
Чому це важливо
MAPP задумана як щит, який дає оборонцям до 5 днів фору перед релізом патча. Якщо витоки підтвердяться, щит перетворюється на інструмент для нападників.
Комплаєнс-колізія в Китаї: закон 2021 року зобов’язує компанії повідомляти державі про вразливості за 48 годин — це структурний ризик для довіри до глобальних програм розкриття вразливостей.
Ризик “0-day farming”: атакувальники чекають сигналів про майбутні патчі, щоб масово експлуатувати у «T‑1 день».
Коротка хронологія
Травень 2025: дослідник з Viettel демонструє 0-day для SharePoint на Pwn2Own, передає whitepaper Microsoft.
~60 днів: Microsoft готує виправлення.
7 липня (T‑1 до патча): старт масових атак по SharePoint.
25 липня: стає публічно відомо про можливий витік із MAPP; Microsoft починає внутрішнє розслідування.
Невирішені питання
Де саме “дірка” в ланцюгу довіри? (учасники MAPP, субпідрядники, внутрішні процеси Microsoft).
Чи будуть виключення/санкції проти підозрюваних партнерів MAPP?
Чи переглядатимуться строки й обсяг даних, що надаються через MAPP?
Як Microsoft збалансує швидке попередження захисників та ризик передчасної деанонімізації уразливостей для зловмисників?
Що робити організаціям (чекліст CISO)
Негайно
- Переконайтесь, що всі останні SharePoint‑патчі встановлені.
- Проінвентаризуйте публічно доступні SharePoint-сервіси; застосуйте VPN/Zero Trust сегментацію доступу.
- аномальні запити до _layouts/15 та специфічних API SharePoint;
- нові/підозрілі облікові записи, зміни в дозволах сайт-колекцій;
- веб-шели / незвичні DLL/ASPX-файли у веб-дереві SharePoint.
Журнали: централізуйте та корелюйте IIS, Windows Event, Defender for Identity / Sentinel (або аналог).
IOCs/TTPs з публікацій Microsoft та партнерів — негайно додати до SIEM/EDR правил.
Середньостроково
Впровадьте (або посильте) процес “T‑minus patch day”: підвищений моніторинг і тимчасові політики ізоляції активів у дні перед Patch Tuesday.
App Allow Listing та EDR в режимі Block на SharePoint‑серверах.
Контроль секретів і доступів: ротація ключів/токенів, MFA/Phishing‑resistant MFA для адміністраторів.
Верифікація ланцюга постачання безпеки: хто ваші зовнішні «ранні попереджувачі», як ви контролюєте витоки?
Стратегічно
Політика розкриття вразливостей та участі в програмах на кшталт MAPP: вимагайте технічних і юридичних запобіжників, аудити, “need-to-know” сегментацію даних.
Adversary Emulation: моделюйте атаки під Linen/Violet Typhoon, Storm‑2603; тестуйте виявлення до та після патчів.
Zero Trust для критичної інфраструктури Microsoft 365/SharePoint: мінімальні привілеї, Just‑In‑Time адмін‑доступи (PIM), умовні політики доступу.
Ревізія MAPP: скорочення вікна попередження, диференціація обсягу технічних деталей, жорсткіший due diligence та постійний моніторинг партнерів.
Телеметрія та прозорість: швидкі IOC/TTP оновлення для клієнтів, чіткі таймлайни інциденту.
“Secure by design” для SharePoint on‑prem & Online: посилити дефолтні політики ізоляції, експлуатаційну телеметрію, автоматизовані вбудовані блокування.
