Exchange漏洞攻击传出骇客提早取得相关情资的疑云，微软正着手调查合作伙伴

在3月初微软公布的Exchange重大漏洞不断传出灾情，原先微软声称只有中国骇客组织Hafnium滥用，事隔数日已有多组骇客用来发动攻击。此事微软也因为1月5日即接获台湾资安公司戴夫寇尔（Devcore）的通报，也被质疑2个月才修补完成，速度太慢而导致灾情扩大。但此起事件却传出骇客疑似取得台湾研究人员提供的资料，而使得微软对于合作的资安业者进行调查。

针对微软打算对合作伙伴进行调查的传闻，近日有2家媒体取得消息人士的说法进行报导，而使得焦点集中到最早向微软通报的戴夫寇尔，但目前为止，还是没有直接证据能证明就是戴夫寇尔遭到攻击而使得相关情报外泄。最早是华尔街日报于3月12日报导此事，该媒体指出，知情人士透露，很有可能是微软与参与主动防御计划（Microsoft Active Protections Program，MAPP）的资安厂商，于2月23日分享Exchange漏洞细节时走漏风声，而造成概念性验证攻击（PoC）的程式码资料泄露。

华尔街日报指出，对此，微软也自2月27日开始，发现中国骇客大规模扫描相关漏洞，并且在28日就出现第2波攻击行动，促使微软决定原本要在3月9日的例行修补（Patch Tuesday）提供修补程式，提前到3月2日发布。

微软发言人向华尔街日报表示，他们公司没有资料外泄的迹象，并指出2月与共享威胁情报的MAPP单位，是长期合作伙伴，但该发言人扬言，若是MAPP遭到滥用，他们会考虑将有问题的成员踢除。

相较于华尔街日报的报导，彭博则特别点出骇客运用的恶意程式与戴夫寇尔之间的关连。他们引述Palo Alto Networks对于Exchange漏洞攻击的发现：骇客所运用的网页壳层工具“中国菜刀（China Chopper）”，程式码里包含了写死的密码“orange”，而被怀疑与戴夫寇尔资安研究员蔡政达（Orange Tsai）有关。彭博也引述蔡政达的推文，来说明上述的中国菜刀与概念性验证程式之间可能有所关连。

蔡政达在推文中提及，Palo Alto于2月底揭露的Exchange漏洞工具，看起来与他提供给微软的概念性验证工具很像，他看到Palo Alto揭露的网页壳层，与自己的验证工具植入服务器的路径相似，而且该网页壳层的密码也是“orange”。蔡政达也表明在提供给微软的概念性验证工具当中，将这个密码写死在里面。

而对于整起事故的情形，彭博引用一名知情人士的说法，指出Palo Alto与Volexity已向戴夫寇尔的研究员提出警告，骇客暗中取得了戴夫寇尔的研究结果。显然这样的可能性彭博认为很高，他们引用资安业者ESET恶意程式研究员Matthieu Faou的看法，他认为骇客可能自行发现Exchange相关漏洞，但也有可能不知运用了什么手法，从戴夫寇尔或者是微软的合作伙伴取得相关资讯。