Microsoft sta indagando per stabilire se una fuga di notizie dal suo Microsoft Active Protections Program (MAPP), un sistema di allerta precoce per i partner della sicurezza informatica, possa aver consentito agli hacker cinesi di sfruttare vulnerabilità non corrette nel suo software server SharePoint.
L'ultima patch dell'azienda tecnologica non è riuscita a risolvere completamente una falla critica, esponendo i sistemi del colosso tecnologico a una sofisticata campagna globale di spionaggio informatico.
In un post sul blog pubblicato martedì, Microsoft ha affermato che lo sfruttamento è stato portato avanti da due gruppi affiliati allo Stato cinese, Linen Typhoon e Violet Typhoon, insieme a un terzo gruppo, anch'esso ritenuto con sede in Cina.
Microsoft indaga su una sospetta fuga di notizie dal programma partner per la sicurezza informatica
L'azienda sta ora indagando per verificare se i dettagli del suo programma MAPP, condivisi con i partner prima del rilascio delle patch pubbliche, possano essere trapelati, accelerando la diffusione di questi attacchi.
Microsoft ha confermato che "valuta costantemente l'efficacia e la sicurezza di tutti i nostri programmi partner e apporta i miglioramenti necessari, se necessario"
La vulnerabilità di SharePoint è venuta alla luce per la prima volta a maggio, quando il ricercatore di sicurezza vietnamita Dinh Ho Anh Khoa l'ha dimostrata alla conferenza sulla sicurezza informatica Pwn2Own di Berlino, organizzata dalla Zero Day Initiative di Trend Micro. Khoa ha ricevuto un premio di 100.000 dollari e Microsoft ha rilasciato una patch iniziale a luglio.
Tuttavia, Dustin Childs, responsabile della consapevolezza delle minacce presso Trend Micro, ha affermato che i partner MAPP sono stati informati della vulnerabilità in tre ondate: il 24 giugno, il 3 luglio e il 7 luglio. Perdent, Microsoft ha osservato che i primi tentativi di exploit sono iniziati il 7 luglio.
Childs ha suggerito che lo scenario più probabile è che "qualcuno nel programma MAPP abbia utilizzato quelle informazioni per creare gli exploit". Pur non avendo nominato alcun fornitore, ha osservato che i tentativi di exploit provenivano principalmente dalla Cina, il che rende "ragionevole ipotizzare" che la fuga di notizie provenisse da un'azienda di quella regione.
Non è la prima volta che Microsoft si trova ad affrontare questo tipo di fuga di notizie legata a MAPP. Dieci anni fa, l'azienda ha licenziato Hangzhou DPTech Technologies Co., Ltd., con sede in Cina, per aver violato il suo accordo di non divulgazione. All'epoca, Microsoft ammise che esistevano dei rischi e comprese che i dati vulnerabili potevano essere utilizzati impropriamente.
Il programma MAPP, lanciato nel 2008, aveva lo scopo di fornire ai fornitori di sicurezza un preavviso sui dettagli tecnici delle vulnerabilità e, occasionalmente, un esempio di codice proof-of-concept, in modo che potessero proteggere al meglio i propri clienti. Una violazione trapelata ora sarebbe in netto contrasto con la missione del programma: rafforzare chi difende, non chi attacca.
Microsoft non ha rivelato se hadentla fonte della fuga di notizie, ma ha sottolineato che qualsiasi violazione dell'NDA verrà presa sul serio.
Le violazioni passate riemergono mentre Microsoft riconsidera l'integrità del programma MAPP
Nel 2021, Microsoft sospettava che almeno altri due partner cinesi di MAPP avessero divulgato informazioni sulle vulnerabilità dei suoi server Exchange. Ciò portò a una campagna di hacking globale che Microsoft attribuì a un gruppo di spionaggio cinese chiamato Hafnium. Si trattò di una delle peggiori violazioni di sempre perpetrate dall'azienda: decine di migliaia di server Exchange furono hackerati, tra cui quelli dell'Autorità bancaria europea e del Parlamento norvegese.
Dopo l' dent , l'azienda ha preso in considerazione la possibilità di rivedere il programma MAPP . Tuttavia, non ha rivelato se alla fine siano state apportate modifiche o se siano state scoperte perdite.
Secondo un rapporto dell'Atlantic Council, in base a una legge cinese del 2021, le aziende e i ricercatori in sicurezza devono segnalare le vulnerabilità di nuova scoperta al Ministero dell'Industria e dell'Informazione Tecnologica entro 48 ore. Alcune aziende cinesi ancora coinvolte nel MAPP, come la Beijing CyberKunlun Technology Co Ltd., partecipano anche al China National Vulnerability Database, gestito dal Ministero della Sicurezza di Stato, sollevando ulteriori preoccupazioni in merito al doppio obbligo di segnalazione.
Eugenio Benincasa, ricercatore presso il Centro Studi sulla Sicurezza dell'ETH di Zurigo, sottolinea la mancanza di trasparenza nel modo in cui le aziende cinesi conciliano le regole didentdi Microsoft con gli obblighi di segnalazione statali. "Sappiamo che alcune di queste aziende collaborano con le agenzie di sicurezza e la gestione delle vulnerabilità in Cina è altamente centralizzata", ha affermato. "Questo è un ambito che necessita chiaramente di maggiore attenzione"
