Exchange漏洞攻擊傳出駭客提早取得相關情資的疑雲，微軟正 ... | 健保診所維基百科

2021年3月15日—...Chopper）」，程式碼裡包含了寫死的密碼「orange」，而被懷疑與戴夫寇爾資安研究員蔡政達（OrangeTsai）有關。彭博也引述蔡政達的推 ...

在3月初微軟公布的Exchange重大漏洞[1]不斷傳出災情，原先微軟聲稱只有中國駭客組織Hafnium濫用，事隔數日已有多組駭客用來發動攻擊[2]。此事微軟也因為1月5日即接獲臺灣資安公司戴夫寇爾（Devcore）的通報[3]，也被質疑2個月才修補完成，速度太慢而導致災情擴大。但此起事件卻傳出駭客疑似取得臺灣研究人員提供的資料，而使得微軟對於合作的資安業者進行調查。

針對微軟打算對合作夥伴進行調查的傳聞，近日有2家媒體取得消息人士的說法進行報導，而使得焦點集中到最早向微軟通報的戴夫寇爾，但目前為止，還是沒有直接證據能證明就是戴夫寇爾遭到攻擊而使得相關情報外洩。最早是華爾街日報於3月12日報導此事[4]，該媒體指出，知情人士透露，很有可能是微軟與參與主動防禦計畫（Microsoft Active Protections Program，MAPP）的資安廠商，於2月23日分享Exchange漏洞細節時走漏風聲，而造成概念性驗證攻擊（PoC）的程式碼資料洩露。

華爾街日報指出，對此，微軟也自2月27日開始，發現中國駭客大規模掃描相關漏洞，並且在28日就出現第2波攻擊行動，促使微軟決定原本要在3月9日的例行修補（Patch Tuesday）提供修補程式，提前到3月2日發布。

微軟發言人向華爾街日報表示，他們公司沒有資料外洩的跡象，並指出2月與共享威脅情報的MAPP單位，是長期合作夥伴，但該發言人揚言，若是MAPP遭到濫用，他們會考慮將有問題的成員踢除。

相較於華爾街日報的報導，彭博[5]則特別點出駭客運用的惡意程式與戴夫寇爾之間的關連。他們引述Palo Alto Networks對於Exchange漏洞攻擊的發現[6]：駭客所運用的網頁殼層工具「中國菜刀（China Chopper）」，程式碼裡包含了寫死的密碼「orange」，而被懷疑與戴夫寇爾資安研究員蔡政達（Orange Tsai）有關。彭博也引述蔡政達的推文[7]，來說明上述的中國菜刀與概念性驗證程式之間可能有所關連。

蔡政達在推文中提及，Palo Alto於2月底揭露的Exchange漏洞工具，看起來與他提供給微軟的概念性驗證工具很像，他看到Palo Alto揭露的網頁殼層，與自己的驗證工具植入伺服器的路徑相似，而且該網頁殼層的密碼也是...