Exchange漏洞攻擊傳出駭客提早取得相關情資的疑雲，微軟正著手調查合作夥伴

在3月初微軟公布的Exchange重大漏洞不斷傳出災情，原先微軟聲稱只有中國駭客組織Hafnium濫用，事隔數日已有多組駭客用來發動攻擊。此事微軟也因為1月5日即接獲臺灣資安公司戴夫寇爾（Devcore）的通報，也被質疑2個月才修補完成，速度太慢而導致災情擴大。但此起事件卻傳出駭客疑似取得臺灣研究人員提供的資料，而使得微軟對於合作的資安業者進行調查。

針對微軟打算對合作夥伴進行調查的傳聞，近日有2家媒體取得消息人士的說法進行報導，而使得焦點集中到最早向微軟通報的戴夫寇爾，但目前為止，還是沒有直接證據能證明就是戴夫寇爾遭到攻擊而使得相關情報外洩。最早是華爾街日報於3月12日報導此事，該媒體指出，知情人士透露，很有可能是微軟與參與主動防禦計畫（Microsoft Active Protections Program，MAPP）的資安廠商，於2月23日分享Exchange漏洞細節時走漏風聲，而造成概念性驗證攻擊（PoC）的程式碼資料洩露。

華爾街日報指出，對此，微軟也自2月27日開始，發現中國駭客大規模掃描相關漏洞，並且在28日就出現第2波攻擊行動，促使微軟決定原本要在3月9日的例行修補（Patch Tuesday）提供修補程式，提前到3月2日發布。

微軟發言人向華爾街日報表示，他們公司沒有資料外洩的跡象，並指出2月與共享威脅情報的MAPP單位，是長期合作夥伴，但該發言人揚言，若是MAPP遭到濫用，他們會考慮將有問題的成員踢除。

相較於華爾街日報的報導，彭博則特別點出駭客運用的惡意程式與戴夫寇爾之間的關連。他們引述Palo Alto Networks對於Exchange漏洞攻擊的發現：駭客所運用的網頁殼層工具「中國菜刀（China Chopper）」，程式碼裡包含了寫死的密碼「orange」，而被懷疑與戴夫寇爾資安研究員蔡政達（Orange Tsai）有關。彭博也引述蔡政達的推文，來說明上述的中國菜刀與概念性驗證程式之間可能有所關連。

蔡政達在推文中提及，Palo Alto於2月底揭露的Exchange漏洞工具，看起來與他提供給微軟的概念性驗證工具很像，他看到Palo Alto揭露的網頁殼層，與自己的驗證工具植入伺服器的路徑相似，而且該網頁殼層的密碼也是「orange」。蔡政達也表明在提供給微軟的概念性驗證工具當中，將這個密碼寫死在裡面。

而對於整起事故的情形，彭博引用一名知情人士的說法，指出Palo Alto與Volexity已向戴夫寇爾的研究員提出警告，駭客暗中取得了戴夫寇爾的研究結果。該媒體也引述資安業者ESET惡意程式研究員Matthieu Faou的看法，他認為駭客可能自行發現Exchange相關漏洞，但也有可能不知運用了什麼手法，從戴夫寇爾或者是微軟的合作夥伴取得相關資訊。

編按：3月16日戴夫寇爾向本刊表示，針對彭博報導提及Palo Alto與Volexity向該公司研究員提出警告一事，戴夫寇爾並未收到Palo Alto的通知，與Volexity則是有在會議中討論此事，並未如報導所提，收到兩家公司關於「駭客暗中取得了戴夫寇爾的研究結果」的警告，也並未看到文中所指出的報告。戴夫寇爾也在此嚴正駁斥任何的不實臆測或消息來源。

而對於華爾街日報與彭博引述非正式消息來源的報導，戴夫寇爾亦嚴正駁斥任何的不實臆測。戴夫寇爾表示，他們在得知駭客團體可能使用自己回報給微軟的研究之後，戴夫寇爾即已立即針對員工電腦設備、公司內部系統以及基礎架構展開全面的清查，調查後確認系統或設備並無遭到入侵或是資料外洩的跡象。同時，此次通報ProxyLogon漏洞係在微軟安全回應中心中直接進行，此漏洞通報程序複雜亦涉及多方單位，包括漏洞通報者、漏洞系統開發商及微軟的主動防護計畫（MAPP） 等，戴夫寇爾已針對自身所有相關可能性進行徹底調查，且已充分證實並未有任何資料從戴夫寇爾外洩的疑慮，亦未在系統上發現異常的登入紀錄或是檔案存取紀錄。