Microsoft Corp. a decis să limiteze accesul companiilor chineze la notificările anticipate despre vulnerabilitățile din produsele sale, după ce a investigat posibilitatea ca detalii tehnice despre erori să fi fost folosite în cadrul unor atacuri cibernetice majore care au vizat serverele SharePoint, potrivit Bloomberg.

Decizia, luată luna trecută, afectează participanții la programul Microsoft Active Protections Program (MAPP) din țările unde există obligația de a raporta descoperirea vulnerabilităților către guvern, ceea ce include și China. „Scopul MAPP este de a oferi companiilor de securitate detalii despre erori înainte de lansarea patch-urilor, pentru ca acestea să poată dezvolta rapid soluții de protecție. Suntem conștienți de potențialul de abuz, motiv pentru care luăm măsuri – atât cunoscute, cât și confidențiale – pentru a preveni utilizarea greșită”, a declarat David Cuddy, purtător de cuvânt al Microsoft.

În urma schimbărilor, companiile vizate nu vor mai primi „proof of concept” – cod demonstrativ care arată modul în care vulnerabilitatea poate fi exploatată – ci doar descrieri generale ale problemelor, comunicate odată cu lansarea actualizărilor de securitate.

Anunțul vine pe fondul unei campanii de atacuri cibernetice atribuite de Microsoft unor hackeri susținuți de statul chinez. Aceștia au exploatat vulnerabilități din SharePoint, reușind să compromită peste 400 de agenții guvernamentale și companii la nivel global, inclusiv Administrația Națională pentru Securitate Nucleară din SUA, responsabilă de proiectarea și întreținerea arsenalului nuclear american. Nu este clar cum au fost descoperite erorile, însă Microsoft a investigat ipoteza unei scurgeri de informații din interiorul programului MAPP.

Un purtător de cuvânt al ambasadei Chinei la Washington a declarat că nu este la curent cu detaliile deciziei Microsoft sau cu presupusele scurgeri de informații, dar a subliniat că securitatea cibernetică este „o provocare comună” și că problemele din acest domeniu ar trebui rezolvate „prin dialog și cooperare”.

Îngrijorările privind partenerii chinezi au fost alimentate și de legea adoptată la Beijing în 2021, care obligă companiile și cercetătorii să raporteze în maximum 48 de ore orice vulnerabilitate descoperită Ministerului Industriei și Tehnologiei Informației.

În trecut, au existat suspiciuni de scurgeri în cadrul MAPP. În 2012, Microsoft a acuzat compania chineză Hangzhou DPtech Technologies că a încălcat acordurile de confidențialitate, expunând o vulnerabilitate majoră în Windows. Mai recent, în 2021, compania suspecta doi parteneri chinezi că au divulgat informații despre breșe în Exchange Server, ceea ce a dus la un val de atacuri atribuite grupului de spionaj Hafnium.

Decizia Microsoft a fost salutată de specialiști în securitate. „Este foarte clar că firmele chineze din MAPP trebuie să răspundă stimulentelor guvernului, așa că are sens să fie limitate informațiile furnizate”, a comentat Dakota Cary, consultant în cadrul companiei americane SentinelOne, care a numit măsura „o schimbare fantastică”.

Totodată, Microsoft a confirmat că a închis așa-numitele „centre de transparență” din China, unde autoritățile puteau analiza codul sursă pentru a verifica lipsa unor „uși din spate”. Potrivit lui Cuddy, aceste centre „au fost retrase de mult timp”, iar ultimele vizite în China au avut loc în 2019.

Microsoft a început să ofere acces la codul său sursă în China încă din 2003, pentru a oferi autorităților încredere în securitatea Windows, fiind atunci prima companie de software comercial care a permis guvernului chinez un astfel de acces.