Microsoft Corp. está investigando si una filtración de su Programa de Protecciones Activas de Microsoft (MAPP) permitió a los piratas informáticos patrocinados por el estado para explotar las vulnerabilidades críticas de SharePoint antes de que los parches se implementaran por completo, según fuentes familiarizadas con el asunto.
La investigación se produce cuando los ataques cibernéticos han comprometido a más de 400 organizaciones en todo el mundo, incluida la Administración Nacional de Seguridad Nuclear de los Estados Unidos.
El momento de los ataques ha elevado importantes banderas rojas entre los expertos en ciberseguridad. El investigador vietnamita Dinh Ho Anh Khoa demostró por primera vez las vulnerabilidades de SharePoint en mayo en la Conferencia de Ciberseguridad PWN2OWN en Berlín, ganando $ 100,000 por su descubrimiento.
Microsoft emitió parches iniciales en julio, pero los socios de MAPP fueron notificados de las vulnerabilidades el 24 de junio, el 3 de julio y el 7 de julio.
Crucialmente, Microsoft observó por primera vez intentos de exploit el 7 de julio, el mismo día que la ola final de notificación MAPP. “El escenario más probable es que alguien en el programa MAPP usó esa información para crear las hazañas”, dijo Dustin Childs, jefe de conciencia de amenazas en la iniciativa de Trend Micro Day, cuya compañía es miembro de MAPP.
La sofisticada cadena de ataque, denominada “Cellina de herramientas” por los investigadores, permite a los piratas informáticos evitar controles de autenticación y ejecutar código malicioso en los servidores de SharePoint. Lo que hace que esta vulnerabilidad sea particularmente peligrosa es que los atacantes pueden robar claves de la máquina criptográfica, lo que les permite mantener el acceso persistente incluso después de que los sistemas estén parcheados.
Impacto global generalizado
La campaña CyberAttack ha afectado a las organizaciones en múltiples sectores, con Microsoft atribuyendo las infracciones a tres grupos de piratería chinos: tifón de lino, tifón Violet y Storm-2603.
La Administración Nacional de Seguridad Nuclear, responsable de diseñar y mantener el almacenamiento de armas nucleares de Estados Unidos, se encontraba entre las víctimas de alto perfil, aunque los funcionarios dicen que no se comprometió ninguna información clasificada.
“El viernes 18 de julio, la explotación de una vulnerabilidad de día cero de Microsoft SharePoint comenzó a afectar al Departamento de Energía, incluida la NNSA”, confirmó un portavoz del Departamento de Energía. La agencia dijo que fue “mínimamente afectado” debido a su uso generalizado de los servicios en la nube de Microsoft.
La seguridad ocular, la firma de ciberseguridad que detectó por primera vez los ataques, informó más de 400 sistemas activamente comprometidos en cuatro oleadas de explotación confirmadas. Las víctimas abarcan agencias gubernamentales, instituciones educativas, compañías de energía y corporaciones privadas desde América del Norte hasta Europa y Asia.
Esta no sería la primera vez que el programa MAPP se ha visto comprometido. En 2012, Microsoft expulsó a la firma china Hangzhou Dptech Technologies Co. por violar su acuerdo de no divulgación después de que la compañía filtró el código de prueba de concepto para una vulnerabilidad de Windows. Más recientemente, Qihoo 360 Technology Co. fue eliminado del programa después de ser colocado en la lista de entidades estadounidenses.
Al menos una docena de empresas chinas actualmente participan en el programa MAPP de 17 años, que proporciona a los proveedores de ciberseguridad un aviso anticipado de vulnerabilidades, generalmente 24 horas antes de la divulgación pública, y algunos socios de confianza reciben información hasta cinco días antes, de acuerdo a Bloomberg.
“Como parte de nuestro proceso estándar, revisaremos este incidente, encontraremos áreas para mejorar y aplicaremos esas mejoras de manera amplia”, dijo un portavoz de Microsoft, enfatizando que los programas de socios siguen siendo “una parte importante de la respuesta de seguridad de la compañía”.
La embajada china en Washington ha negado la participación, con el portavoz del Ministerio de Relaciones Exteriores, Guo Jiakun, afirmando que “China se opone y lucha contra las actividades de piratería de acuerdo con la ley” mientras se opone a “frotis y ataques contra China bajo la excusa de los problemas de ciberseguridad”.
La investigación destaca el delicado equilibrio que enfrenta Microsoft para compartir información de vulnerabilidad con socios de seguridad al tiempo que evita que los actores maliciosos exploten el conocimiento avanzado para acelerar los ataques. Cualquier fuga confirmada daría un golpe significativo a la credibilidad y efectividad del programa MAPP.
A medida que la sonda continúa, los expertos en ciberseguridad advierten que la rápida arma de las vulnerabilidades, desde el descubrimiento hasta la explotación de masa en poco más de dos meses, demuestra la sofisticación y la velocidad en evolución de las amenazas cibernéticas modernas.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
