Microsoft investiga una fuga de vulnerabilidades de SharePoint vinculada a piratas informáticos chinos

- Microsoft cree que alguien de su programa de socios puede haber compartido información secreta que ayudó a los piratas informáticos chinos.
- Los piratas informáticos de China están utilizando esta información para atacar los servidores SharePoint de Microsoft.
- Esto ya ha sucedido antes y los expertos temen que las normas chinas puedan obligar a las empresas a compartir los secretos de Microsoft.
Microsoft está investigando si una filtración de su Programa de Protección Activa de Microsoft (MAPP), un sistema de alerta temprana para socios de ciberseguridad, puede haber permitido a piratas informáticos chinos explotar vulnerabilidades sin parchear en su software de servidor SharePoint.
La última actualización de la empresa tecnológica no logró solucionar por completo una vulnerabilidad crítica, dejando los sistemas del gigante tecnológico expuestos a una sofisticada campaña global de ciberespionaje.
En una publicación de blog del martes, Microsoft dijo que la explotación está siendo llevada a cabo por dos grupos afiliados al estado chino, Linen Typhoon y Violet Typhoon, junto con un tercer grupo, que también se cree que tiene su sede en China.
Microsoft investiga presunta filtración de su programa de socios de ciberseguridad
La compañía ahora está investigando si es posible que se hayan filtrado detalles de su programa MAPP (compartidos con sus socios antes del lanzamiento de parches públicos), lo que habría acelerado la propagación de estos ataques.
Microsoft confirmó que “evalúa continuamente la eficacia y seguridad de todos nuestros programas de socios y realiza las mejoras necesarias según sea necesario”
La vulnerabilidad de SharePoint salió a la luz por primera vez en mayo, cuando el investigador de seguridad vietnamita Dinh Ho Anh Khoa la demostró en la conferencia de ciberseguridad Pwn2Own en Berlín, organizada por la Zero Day Initiative de Trend Micro. Khoa recibió un premio de 100 000 dólares y Microsoft publicó un parche inicial en julio.
Sin embargo, Dustin Childs, jefe de concientización sobre amenazas en Trend Micro, dijo que los socios de MAPP habían sido informados sobre la vulnerabilidad en tres oleadas: el 24 de junio, el 3 de julio y el 7 de julio.dent, Microsoft señaló que los primeros intentos de explotación comenzaron el 7 de julio.
Childs sugirió que lo más probable es que alguien del programa MAPP usara esa información para crear los exploits. Si bien no nombró a ningún proveedor, señaló que los intentos de explotación se originaron principalmente en China, lo que hace razonable especular que la filtración provino de una empresa de esa región.
Hackers respaldados por el estado chino explotan una vulnerabilidad de SharePoint sin parchear
Esta no es la primera vez que Microsoft se enfrenta a este tipo de filtración relacionada con MAPP. Hace una década, la empresa despidió a Hangzhou DPTech Technologies Co., Ltd., con sede en China, por violar su acuerdo de confidencialidad. Microsoft admitió entonces que existían riesgos y comprendió que los datos vulnerables podían ser objeto de abuso.
El programa MAPP, que se estrenó en 2008, tenía como objetivo proporcionar a los proveedores de seguridad información previa sobre los detalles técnicos de las vulnerabilidades y, en ocasiones, código de prueba de concepto de muestra, para que pudieran proteger mejor a sus clientes. Una filtración de una brecha de seguridad iría directamente en contra de la misión del programa: fortalecer a los defensores, no a los atacantes.
Microsoft no ha revelado si hadentla fuente de la filtración, pero enfatizó que cualquier violación del NDA será tomada en serio.
Las infracciones pasadas resurgen mientras Microsoft reconsidera la integridad del programa MAPP
En 2021, Microsoft sospechó que al menos otros dos socios chinos de MAPP filtraron información sobre vulnerabilidades en sus servidores Exchange. Esto desencadenó una campaña global de hacking que Microsoft atribuyó a un grupo de espionaje chino llamado Hafnium. Fue una de las peores brechas de seguridad de la empresa: decenas de miles de servidores Exchange fueron atacados, incluyendo los de la Autoridad Bancaria Europea y el Parlamento noruego.
Tras el incidente de 2021dentla empresa consideró revisar el programa MAPP. Sin embargo, no reveló si finalmente se realizaron cambios ni si se detectaron filtraciones.
Según una ley china de 2021, las empresas y los investigadores de seguridad deben informar al Ministerio de Industria y Tecnología de la Información sobre las vulnerabilidades recién descubiertas en un plazo de 48 horas, según un informe del Atlantic Council. Algunas empresas chinas que aún participan en MAPP, como Beijing CyberKunlun Technology Co. Ltd., también participan en la Base de Datos Nacional de Vulnerabilidades de China, gestionada por el Ministerio de Seguridad del Estado, lo que genera mayor preocupación sobre la doble obligación de informar.
Eugenio Benincasa, investigador del Centro de Estudios de Seguridad de la ETH de Zúrich, señala la falta de transparencia en la forma en que las empresas chinas concilian las normas dedentde Microsoft con los mandatos estatales de información. "Sabemos que algunas de estas empresas trabajan con agencias de seguridad, y la gestión de vulnerabilidades en China está muy centralizada", afirmó. "Este es un área que claramente requiere un mayor escrutinio"
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.

Nellius Irene
Nellius es licenciada en Administración de Empresas y TI con cinco años de experiencia en la industria de las criptomonedas. También es egresada de Bitcoin Dada. Ha colaborado con importantes medios de comunicación, como BanklessTimes, Cryptobasic y Riseup Media.
















