Microsoft investiga si una filtración de su sistema de alerta temprana para empresas de ciberseguridad permitió a hackers chinos explotar vulnerabilidades en su servicio SharePoint antes de que fueran parcheadas, según informó Bloomberg News el viernes. Un parche de seguridad que Microsoft lanzó este mes no logró corregir por completo una falla crítica en el software de servidor SharePoint del gigante tecnológico estadounidense, lo que abrió la puerta a un amplio plan de ciberespionaje global.
En una publicación de blog publicada el martes, Microsoft dijo que dos grupos de piratas informáticos supuestamente chinos, denominados “Linen Typhoon” y “Violet Typhoon”, estaban explotando las debilidades, junto con un tercero, también con sede en China.
El gigante tecnológico está investigando si una filtración del Programa de Protección Activa de Microsoft (MAPP) condujo a la explotación generalizada de vulnerabilidades en su software SharePoint a nivel mundial durante los últimos días, según el informe.
Microsoft dijo en una declaración proporcionada a Reuters que la compañía evalúa continuamente “la eficacia y seguridad de todos nuestros programas de socios y realiza las mejoras necesarias según sea necesario”.
Un investigador de la empresa vietnamita de ciberseguridad Viettel demostró la vulnerabilidad de SharePoint en mayo durante la conferencia de ciberseguridad Pwn2Own en Berlín. La conferencia, organizada por la Iniciativa Día Cero de la empresa de ciberseguridad Trend Micro, premia a los investigadores que buscan divulgar vulnerabilidades de software de forma ética. El investigador, Dinh Ho Anh Khoa, recibió 100.000 dólares y Microsoft lanzó un parche inicial para la vulnerabilidad en julio. Sin embargo, los miembros del programa MAPP fueron notificados de las vulnerabilidades el 24 de junio, el 3 y el 7 de julio, según declaró a Reuters el viernes Dustin Childs, director de concienciación sobre amenazas de la Iniciativa Día Cero de Trend Micro.
Microsoft observó por primera vez intentos de explotación el 7 de julio, dijo la compañía en la publicación del blog del martes.
Childs dijo a Reuters que “el escenario más probable es que alguien en el programa MAPP haya usado esa información para crear los exploits”.
No está claro qué proveedor fue el responsable, dijo Childs, “pero como muchos de los intentos de explotación provienen de China, parece razonable especular que se trataba de una empresa de esa región”.
No sería la primera vez que una filtración del programa MAPP provoca una brecha de seguridad. Hace más de una década, Microsoft acusó a la empresa china Hangzhou DPTech Technologies Co., Ltd. de incumplir su acuerdo de confidencialidad y la expulsó del programa.
“Reconocemos que existe la posibilidad de que la información sobre vulnerabilidades se use indebidamente”, declaró Microsoft en una entrada de blog de 2012, aproximadamente al mismo tiempo que se filtró la información del programa. “Para limitar esto al máximo, tenemos sólidos acuerdos de confidencialidad (NDA) con nuestros socios. Microsoft se toma muy en serio el incumplimiento de sus NDA”.
Cualquier filtración confirmada de MAPP sería un golpe para el programa, que está destinado a dar a los defensores cibernéticos la ventaja contra los piratas informáticos que se apresuran a analizar las actualizaciones de Microsoft en busca de pistas sobre cómo desarrollar software malicioso que pueda usarse contra usuarios aún vulnerables.
MAPP, lanzado en 2008, tenía como objetivo dar a los proveedores de seguridad confiables una ventaja frente a los piratas informáticos, por ejemplo, proporcionándoles información técnica detallada y, en algunos casos, software de “prueba de concepto” que imita el funcionamiento de malware genuino.