Kako se hekerji izvedeli za ranljivost v SharePointu?

Ko so minule tedne hekerji množično napadali lokalne namestitve SharePointa zaradi ranljivosti, je moral Microsoft hitro izdati popravke, saj je bila škoda velika, žrtev pa več sto. Pri tem pa je bila nenavadna zlasti časovnica, saj so napadi ranljivost izrabljali na tak način, da so obšli dan pozneje izdane redne popravke (v okviru drugega tedna v mesecu oziroma Patch Tuesday). Zdelo se je, kot bi nekdo natančno vedel, kakšni bodo popravki.

To seveda ni velika skrivnost, saj so vsi člani programa MAPP o podrobnostih prihajajočih popravkov obveščeni dva tedna pred izdajo. Člani MAPP (Microsoft Active Protections Program) podpišejo pogodbe o nerazkrivanju, nato pa dobijo predčasne informacije, ki jih uporabijo za zaščito svojih strank. V tem primeru so bili popravki (vključno z CVE-2025-49704 in CVE-2025-49706) v okviru MAPP razkriti 24. junija, napadi so se začeli 7. julija, dan pozneje pa so bili popravki izdani, a so bili takoj neučinkoviti. O ranljivosti je bil Microsoft prvikrat obveščen 15. maja na tekmovanju Pwn2Own v Berlinu, kjer je tekmovalec predstavil ranljivost in dobil 100.000 dolarjev, Microsoft pa podrobne informacije.

A ko so 8. julija izdali popravka, je bilo že prepozno. Napadi so se začeli 7. julija, popravka (CVE-2025-49704 in CVE-2025-49706) pa sta bila neučinkovita. Microsoft je zato moral pripraviti nova. Ko sta 21. julija izšla nova popravka (CVE-2025-53770 in CVE-2025-53771), ju Microsoft ni predčasno razkril MAPP. Razlogov je lahko več, morda preprosto ni bilo časa. A Dustin Childs, ki pri Trend Micru vodi Zero Day Initiative (ZDI), je drugačnega mnenja. Trdi, da so prvotni popravki pricurljali iz MAPP, zato je Microsoft tokrat vse podrobnosti zadržal zase.