A Microsoft está investigando se um vazamento de seu Programa de Proteção Ativa da Microsoft (MAPP, na sigla em inglês) — um sistema de alerta precoce para parceiros de segurança cibernética — pode ter permitido que hackers chineses explorassem vulnerabilidades não corrigidas em seu software de servidor SharePoint.
A atualização mais recente da empresa de tecnologia não conseguiu resolver completamente uma falha crítica, expondo os sistemas da gigante da tecnologia a uma sofisticada campanha global de espionagem cibernética.
Em uma postagem em seu blog na terça-feira, a Microsoft afirmou que a exploração está sendo realizada por dois grupos ligados ao Estado chinês, Linen Typhoon e Violet Typhoon, juntamente com um terceiro grupo, também supostamente baseado na China.
A Microsoft investiga suspeita de vazamento de informações em seu programa de parceiros de cibersegurança
A empresa está agora investigando se detalhes de seu programa MAPP — compartilhados com parceiros antes do lançamento público de correções de segurança — podem ter vazado, acelerando a disseminação desses ataques.
A Microsoft confirmou que "avalia continuamente a eficácia e a segurança de todos os nossos programas de parceria e implementa as melhorias necessárias conforme preciso"
A vulnerabilidade do SharePoint veio à tona em maio, quando o pesquisador de segurança vietnamita Dinh Ho Anh Khoa a demonstrou na conferência de cibersegurança Pwn2Own, em Berlim, organizada pela Zero Day Initiative da Trend Micro. Khoa recebeu um prêmio de US$ 100.000, e a Microsoft lançou uma correção inicial em julho.
No entanto, Dustin Childs, chefe de conscientização sobre ameaças da Trend Micro, afirmou que os parceiros do MAPP foram informados sobre a vulnerabilidade em três etapas: 24 de junho, 3 de julho e 7 de julho.dent, a Microsoft observou que as primeiras tentativas de exploração começaram em 7 de julho.
Childs sugeriu que o cenário mais provável é que "alguém no programa MAPP tenha usado essas informações para criar os exploits". Embora não tenha mencionado nenhum fornecedor, ele observou que as tentativas de exploração se originaram principalmente da China, tornando "razoável especular" que o vazamento tenha vindo de uma empresa daquela região.
Esta não é a primeira vez que a Microsoft lida com esse tipo de vazamento relacionado ao MAPP. Há uma década, a empresa dispensou a Hangzhou DPTech Technologies Co., Ltd., com sede na China, por violar seu acordo de confidencialidade. Na época, a Microsoft admitiu que havia riscos e entendia que dados vulneráveis poderiam ser usados indevidamente.
O programa MAPP, lançado em 2008, tinha como objetivo fornecer aos fornecedores de segurança informações antecipadas sobre os detalhes técnicos das vulnerabilidades — e, ocasionalmente, exemplos de código de prova de conceito — para que pudessem proteger melhor seus clientes. Um vazamento de dados agora contrariaria diretamente a missão do programa: capacitar os defensores, não os atacantes.
A Microsoft não divulgou sedenta fonte do vazamento, mas enfatizou que qualquer violação do acordo de confidencialidade será tratada com seriedade.
Violações de segurança antigas ressurgem enquanto a Microsoft reavalia a integridade do programa MAPP
Em 2021, a Microsoft suspeitou que pelo menos dois outros parceiros chineses do MAPP haviam vazado informações sobre vulnerabilidades em seus servidores Exchange. Isso levou a uma campanha global de hackers que a Microsoft atribuiu a um grupo de espionagem chinês chamado Hafnium. Foi uma das piores violações de segurança da história da empresa — dezenas de milhares de servidores Exchange foram invadidos, incluindo os da Autoridade Bancária Europeia e do Parlamento Norueguês.
Após o incidente de 2021 dent a empresa considerou revisar o programa MAPP . No entanto, não divulgou se alguma alteração foi de fato feita, nem se algum vazamento foi descoberto.
Segundo um relatório do Atlantic Council, uma lei chinesa de 2021 exige que empresas e pesquisadores de segurança reportem vulnerabilidades recém-descobertas ao Ministério da Indústria e Tecnologia da Informação em até 48 horas. Algumas empresas chinesas ainda envolvidas no MAPP, como a Beijing CyberKunlun Technology Co Ltd., também participam do Banco de Dados Nacional de Vulnerabilidades da China — administrado pelo Ministério da Segurança do Estado —, o que aumenta as preocupações sobre a dupla obrigação de reporte.
Eugenio Benincasa, pesquisador do Centro de Estudos de Segurança da ETH Zurich, aponta para a falta de transparência na forma como as empresas chinesas conciliam as regras dedentda Microsoft com as exigências de relatórios do Estado. "Sabemos que algumas dessas empresas trabalham com agências de segurança, e a gestão de vulnerabilidades na China é altamente centralizada", disse ele. "Esta é uma área que claramente precisa de mais atenção."
