微軟指出中國藉由漏洞揭露法「囤積」零時差漏洞 助長駭客發動攻擊

微軟近日警告，中國國家駭客利用中國的漏洞揭露法「累積」零時差漏洞，以便長期發動惡意程式攻擊。

微軟上周公佈的一項《2022 年數位防衛報告》報告指出，在中國政府去年通過的漏洞通報法上路一年以來，中國培植的駭客組織已「精通於發現和發展零時差漏洞攻擊」。

微軟相信，去年中國國家駭客更常利用零時差漏洞發動攻擊，和中國去年 9 月施行的漏洞通報法有直接關聯。

這項法令要求安全研究人員發現漏洞後，必須先通報中國主管機關，才能分享給產品及服務持有者。研究人員認為，這給了惡意程式作亂的零時差空窗期，也讓中國政府得以「囤積」漏洞，而將之武裝化。

這份報告將多起零時差漏洞攻擊歸咎於中國國家駭客，且安全修補程式和攻擊活動的時間差愈來愈短。漏洞有修補程式和概念驗證 (PoC) 出現在網路上，平均是 60 天，這是企業必須把握的黃金期，而這些漏洞經常被其他駭客重新使用，像是 SolarWinds、Zoho、Confluence 和微軟 Exchange Server 的漏洞。

今年發生在熱門軟體上的零時差漏洞至少有 42 個，其中又以微軟產品最多。微軟說，今年公佈的零時差漏洞數量，也是紀錄以來最多的，原因在於國家駭客和網路罪犯愈來愈精於找到漏洞，以及發動攻擊，快到比廠商得知的時間點還早。

他們發現到漏洞公佈及漏洞被利用的時間點愈來愈短，這是因為其他駭客很快發現到攻擊漏洞，並在短時間內被廣為重新利用。

微軟呼籲企業及資安人員應在有修補程式時，儘速修補漏洞，並且應投資紀錄和清點所有企業軟硬資產的技術，以利判定安全風險及修補的優先順序。

來源：Security Week