Microsoft analizează dacă un posibil incident de securitate din cadrul programului său de alertă timpurie pentru partenerii din domeniul securității cibernetice ar fi dus la exploatarea unor vulnerabilități critice din platforma SharePoint de către hackeri susținuți de statul chinez, înainte ca acestea să fie corectate, relatează Bloomberg.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Programul vizat, Microsoft Active Protections Program (MAPP), oferă firmelor de securitate acces anticipat la informații despre patch-uri și vulnerabilități, cu scopul de a le permite acestora să-și pregătească produsele și serviciile înainte ca actualizările să fie făcute publice. Un subset al acestor parteneri primește datele chiar cu cinci zile înaintea publicării oficiale. Conform site-ului Microsoft, peste 12 companii chineze sunt membre ale programului MAPP, care este destinat exclusiv furnizorilor de soluții de securitate cibernetică, cu condiția ca aceștia să nu dezvolte instrumente de hacking și să semneze un acord de confidențialitate.
„Ca parte a procesului nostru standard, vom analiza acest incident, vom identifica posibile îmbunătățiri și le vom implementa la nivel larg”, a declarat un purtător de cuvânt al Microsoft.
Sursa problemei pare să fie o vulnerabilitate demonstrată public în luna mai, în cadrul conferinței Pwn2Own din Berlin, unde cercetătorul vietnamez Dinh Ho Anh Khoa a arătat în direct cum poate fi exploatat SharePoint. După prezentare, el a furnizat detaliile tehnice complete către Microsoft, care a început lucrul la o corecție. Remedierea a fost lansată oficial pe 8 iulie. Cu doar o zi înainte însă, atacatori au început să exploateze vulnerabilitatea.
Atacurile au afectat peste 400 de entități din întreaga lume, printre care și Administrația Națională pentru Securitate Nucleară din SUA, responsabilă de dezvoltarea armelor nucleare. Microsoft a atribuit unele dintre atacuri unor grupuri chineze cunoscute sub denumirile Linen Typhoon, Violet Typhoon și Storm-2603, despre care compania afirmă că sunt sponsorizate de statul chinez.
„Aceste două vulnerabilități au fost incluse în notificarea MAPP”, a confirmat Dustin Childs, reprezentant al companiei de securitate Trend Micro, membră MAPP. „Posibilitatea unei scurgeri de informații ne-a trecut cu siguranță prin minte”, a adăugat el, subliniind că o astfel de situație ar fi o amenințare gravă la adresa programului.
Ambasada Chinei la Washington a reacționat la acuzațiile legate de atacuri cibernetice, transmițând printr-un purtător de cuvânt al Ministerului de Externe, Guo Jiakun: „China se opune și combate activitățile de hacking, în conformitate cu legea. În același timp, ne opunem calomniilor și acuzațiilor aduse Chinei sub pretextul securității cibernetice”.
Nu este pentru prima dată când programul MAPP este implicat într-un incident de acest tip. În 2012, Microsoft a exclus compania chineză Hangzhou DPtech Technologies pentru dezvăluirea neautorizată a unei vulnerabilități din Windows. De asemenea, în 2021, Microsoft suspecta că alți doi parteneri chinezi din MAPP au contribuit la scurgerile care au precedat un atac global asupra serverelor Exchange, atribuit grupului Hafnium.
Potrivit unui raport Atlantic Council, o lege chineză din 2021 obligă companiile și cercetătorii locali să raporteze orice vulnerabilitate în maximum 48 de ore Ministerului Industriei și Tehnologiei Informației. Unele dintre companiile chineze incluse în MAPP colaborează și cu China National Vulnerability Database, administrată de Ministerul Securității Statului.
„Știm că unele dintre aceste companii colaborează cu agențiile de securitate ale statului, iar sistemul chinez de gestionare a vulnerabilităților este foarte centralizat”, a declarat Eugenio Benincasa, cercetător la ETH Zurich. „Este, cu siguranță, un domeniu care necesită o examinare mai atentă.”
