De techgigant beweert dat China kwetsbaarheden bewapent door zero-day dreigingen geheim te houden en op te slaan.

Microsoft waarschuwt in een nieuw rapport dat de aanvalscapaciteit van China snel uitbreidt. Volgens de techgigant is de uitbreiding het gevolg van een wet uit 2021 die Beijing in staat stelt om een arsenaal aan onbekende softwarekwetsbaarheden op te bouwen en in een later stadium te misbruiken.

Het Microsoft Digital Defense Report 2022 analyseert cyberdreigingen van verschillende state actors. De onderzoekers besteedden extra aandacht aan China. De overheid verplicht securityprofessionals sinds 2021 om nieuwe kwetsbaarheden bekend te maken bij de staat. “Hoewel we zien dat state actors in meerdere landen exploits ontwikkelen op basis van onbekende kwetsbaarheden, zijn Chinese actors in het bijzonder actief”, luidt het rapport.

China’s nieuwe regelgeving voor het melden van kwetsbaarheden werd in september 2021 van kracht. Nooit eerder werden onderzoekers door een overheid verplicht om kwetsbaarheden te melden bij een overheidsinstantie in plaats van de ontwikkelaar van een product of dienst. “Deze nieuwe verordening zou de Chinese regering in staat kunnen stellen om kwetsbaarheden op te slaan en te bewapenen”, waarschuwt Microsoft.

Verlenging van kwetsbaarheden

“Het toegenomen gebruik van zero days onder Chinese actors houdt waarschijnlijk verband met het eerste volledige jaar van de nieuwe meldplicht”, vervolgt de techgigant. “Het is een belangrijke stap in het gebruik van zero-day exploits als overheidswapen.”

De meeste zero-day aanvallen zijn in eerste instantie gericht op een beperkt aantal organisaties. Vaak worden de aanvalsmethodes snel overgenomen door het bredere ecosysteem. De vondst van een zero-day kwetsbaarheid is het startschot van een race onder cybercriminelen, waarbij aanvallers de kwetsbaarheid zo snel en vaak mogelijk proberen te misbruiken voordat er een patch beschikbaar wordt.

De Chinese dreiging is duidelijk: door een voorraad van onbekende kwetsbaarheden op te bouwen en deze niet aan dienstverleners te melden, kan de overheid kwetsbaarheden vaker misbruiken voordat ze worden opgelost.