Selon theregister.com, Microsoft a modifié son programme Microsoft Active Protections Program (MAPP) après les attaques zero‑day visant SharePoint en juillet. Un porte‑parole (David Cuddy) a indiqué à Bloomberg que les entreprises situées dans des pays où les vulnérabilités doivent être signalées aux gouvernements, dont la Chine, ne recevront plus de code de preuve de concept (PoC) avant publication des correctifs, mais uniquement une description écrite générale synchronisée avec les patches. Microsoft n’a pas répondu aux questions de The Register et a refusé de commenter son enquête interne.
Contexte technique : en fin juillet, des groupes basés en Chine — incluant des acteurs étatiques, des voleurs de données et un gang de ransomware — ont exploité deux failles SharePoint pour détourner des serveurs on‑premises de plus de 400 organisations et exécuter du code à distance (RCE). Microsoft avait dévoilé ces vulnérabilités lors du Patch Tuesday du 8 juillet, avant d’admettre que la mise à jour initiale ne corrigeait pas entièrement les problèmes. Des correctifs fonctionnels ont été publiés le 21 juillet, alors que les failles étaient déjà largement exploitées.
Des observateurs ont évoqué la possibilité que les attaquants aient connu les détails à l’avance et su contourner le premier patch. Dustin Childs (Trend Micro ZDI) a déclaré qu’« une fuite s’est produite quelque part », soulignant l’existence d’un exploit zero‑day contournant le correctif. Une piste évoquée est une fuite d’informations issues de MAPP. ZDI a indiqué avoir trouvé des failles dans les premiers correctifs, et des chercheurs en Chine auraient pu en faire autant.
Réactions et implications : Childs juge la restriction de MAPP « positive, quoique tardive », rappelant que des fuites MAPP avaient déjà été associées par le passé à des entreprises basées en Chine. Il estime que MAPP reste une ressource précieuse pour les défenseurs, et espère que Microsoft pourra endiguer les fuites tout en fournissant les informations nécessaires aux acteurs qui démontrent leur volonté de protéger les utilisateurs. 🔒
Type d’article et objectif : article de presse spécialisé relatant un changement de politique de Microsoft autour de MAPP dans le contexte des exploits zero‑day SharePoint, avec réactions d’experts et rappel des faits clés.
TTPs observés:
- Exploitation de vulnérabilités zero‑day SharePoint
- Exécution de code à distance (RCE) et prise de contrôle de serveurs on‑premises
- Contournement de correctifs (patch bypass)
- Exploitation de masse des failles
🔗 Source originale : https://www.theregister.com/2025/08/21/microsoft_cuts_chinas_early_access/