Microsoft sta indagando per stabilire se una fuga di notizie dal suo Microsoft Active Protections Program (MAPP), un sistema di allerta precoce per i partner di sicurezza informatica, possa aver consentito agli hacker cinesi di sfruttare vulnerabilità non corrette nel suo software server SharePoint.
L'ultima patch dell'azienda tecnologica non è riuscita a risolvere completamente una falla critica, esponendo i sistemi del colosso tecnologico a una sofisticata campagna globale di spionaggio informatico.
In un post sul blog pubblicato martedì, Microsoft ha affermato che lo sfruttamento è portato avanti da due gruppi affiliati allo stato cinese, Linen Typhoon e Violet Typhoon, insieme a un terzo gruppo, anch'esso ritenuto con sede in Cina.
Microsoft indaga su una presunta fuga di notizie dal programma partner per la sicurezza informatica
L'azienda sta ora indagando per verificare se i dettagli del suo programma MAPP, condivisi con i partner prima del rilascio delle patch pubbliche, possano essere trapelati, accelerando la diffusione di questi attacchi.
Microsoft ha confermato di "valutare costantemente l'efficacia e la sicurezza di tutti i programmi dei nostri partner e di apportare i miglioramenti necessari quando necessario".
La vulnerabilità di SharePoint è venuta alla luce per la prima volta a maggio, quando il ricercatore di sicurezza vietnamita Dinh Ho Anh Khoa l'ha dimostrata alla conferenza sulla sicurezza informatica Pwn2Own di Berlino, organizzata dalla Zero Day Initiative di Trend Micro. Khoa ha ricevuto un premio di 100.000 dollari e Microsoft ha rilasciato una patch iniziale a luglio.
Tuttavia, Dustin Childs, responsabile della consapevolezza delle minacce di Trend Micro, ha affermato che i partner MAPP sono stati informati della vulnerabilità in tre ondate: il 24 giugno, il 3 luglio e il 7 luglio. Per coincidenza, Microsoft ha osservato che i primi tentativi di exploit sono iniziati il 7 luglio.
Childs ha suggerito che lo scenario più probabile è che "qualcuno nel programma MAPP abbia usato quelle informazioni per creare gli exploit". Pur non avendo nominato alcun fornitore, ha osservato che i tentativi di exploit provenivano principalmente dalla Cina, rendendo "ragionevole ipotizzare" che la fuga di notizie provenisse da un'azienda di quella regione.
Gli hacker cinesi finanziati dallo stato sfruttano la vulnerabilità di SharePoint non corretta
Non è la prima volta che Microsoft si trova ad affrontare questo tipo di fuga di notizie legata a MAPP. Dieci anni fa, l'azienda ha licenziato Hangzhou DPTech Technologies Co., Ltd., con sede in Cina, per aver violato il suo accordo di non divulgazione. All'epoca, Microsoft ammise che esistevano rischi e comprese che i dati vulnerabili potevano essere utilizzati impropriamente.
Il programma MAPP, lanciato nel 2008, aveva lo scopo di fornire ai fornitori di sicurezza un preavviso sui dettagli tecnici delle vulnerabilità e, occasionalmente, un esempio di codice proof-of-concept, in modo che potessero proteggere al meglio i propri clienti. Una violazione trapelata ora sarebbe in netto contrasto con la missione del programma: rafforzare chi difende, non chi attacca.
Microsoft non ha rivelato se ha identificato la fonte della fuga di notizie, ma ha sottolineato che qualsiasi violazione dell'accordo di riservatezza verrà presa sul serio.
Le violazioni passate riemergono mentre Microsoft riconsidera l'integrità del programma MAPP
Nel 2021, Microsoft sospettava che almeno altri due partner cinesi di MAPP avessero divulgato informazioni sulle vulnerabilità dei suoi server Exchange. Ciò portò a una campagna di hacking globale che Microsoft attribuì a un gruppo di spionaggio cinese chiamato Hafnium. Si trattò di una delle peggiori violazioni mai subite dall'azienda: decine di migliaia di server Exchange furono hackerati, tra cui quelli dell'Autorità bancaria europea e del Parlamento norvegese.
Dopo l'incidente del 2021, l'azienda ha preso in considerazione la possibilità di rivedere il programma MAPP . Tuttavia, non ha rivelato se siano state apportate modifiche o se siano state scoperte perdite.
In base a una legge cinese del 2021, aziende e ricercatori in sicurezza devono segnalare le vulnerabilità di nuova scoperta al Ministero dell'Industria e dell'Informazione Tecnologica entro 48 ore, secondo un rapporto dell'Atlantic Council. Alcune aziende cinesi ancora coinvolte nel MAPP, come la Beijing CyberKunlun Technology Co Ltd., partecipano anche al China National Vulnerability Database, gestito dal Ministero della Sicurezza di Stato, sollevando ulteriori preoccupazioni circa il doppio obbligo di segnalazione.
Eugenio Benincasa, ricercatore presso il Centro Studi sulla Sicurezza dell'ETH di Zurigo, sottolinea la mancanza di trasparenza nel modo in cui le aziende cinesi conciliano le norme sulla riservatezza di Microsoft con gli obblighi di segnalazione statali. "Sappiamo che alcune di queste aziende collaborano con le agenzie di sicurezza e che la gestione delle vulnerabilità in Cina è altamente centralizzata", ha affermato. "Questo è un aspetto che necessita chiaramente di maggiore attenzione".
Cryptopolitan Academy: in arrivo a breve – Un nuovo modo per guadagnare reddito passivo con la DeFi nel 2025. Scopri di più