Microsoft Corp. investiga se um vazamento de seu sistema de alerta precoce para empresas de cibersegurança permitiu que hackers chineses explorassem falhas em seu serviço SharePoint antes que elas fossem corrigidas, conforme informações de fontes a par do assunto.
A empresa de tecnologia analisa se o programa — criado para dar aos especialistas em cibersegurança a oportunidade de corrigir sistemas antes que novas preocupações de segurança sejam divulgadas — resultou na exploração generalizada de vulnerabilidades em seu software SharePoint nos últimos dias. As fontes pediram para não serem identificadas por tratar de questões confidenciais.
“Como parte de nosso processo padrão, revisaremos este incidente, identificaremos áreas a serem melhoradas e aplicaremos essas melhorias de forma ampla”, afirmou um porta-voz da Microsoft em comunicado, acrescentando que os programas de parceria são uma parte importante da resposta de segurança da empresa.
A embaixada chinesa em Washington se referiu a comentários feitos pelo porta-voz do ministério das Relações Exteriores, Guo Jiakun, que se opôs a atividades de hacking. “A cibersegurança é um desafio comum enfrentado por todos os países e deve ser abordado em conjunto, por meio do diálogo e da cooperação”, disse Guo. “A China se opõe e combate atividades de hacking de acordo com a lei. Ao mesmo tempo, repudiamos difamações e ataques contra a China sob a justificativa de questões de cibersegurança.”
A Microsoft atribuiu as violações do SharePoint a hackers patrocinados pelo estado chinês, e pelo menos uma dezena de empresas chinesas participa da iniciativa denominada Microsoft Active Protections Program, ou MAPP, segundo o site da Microsoft. Os membros do programa, que existe há 17 anos, devem comprovar que são fornecedores de cibersegurança e que não produzem ferramentas de hacking, como softwares de teste de penetração. Após assinarem um acordo de não divulgação, eles recebem informações sobre novos patches de vulnerabilidades 24 horas antes de serem liberadas ao público.
Um subconjunto de usuários mais rigorosamente selecionados recebe notificações sobre um patch que chega cinco dias antes, conforme o site do MAPP.
Dustin Childs, chefe de conscientização sobre ameaças da Zero Day Initiative na empresa de cibersegurança Trend Micro, disse que a Microsoft alertou os membros do programa sobre as vulnerabilidades que levaram aos ataques ao SharePoint. “Esses dois bugs estavam incluídos na liberação do MAPP”, afirmou Childs, cuja empresa é um membro do programa. “A possibilidade de um vazamento, sem dúvida, passou pela nossa mente.” Ele acrescenta que tal vazamento seria uma ameaça grave ao programa, “embora eu ainda acredite que o MAPP tem muito valor.”
As vítimas dos ataques agora somam mais de 400 agências governamentais e corporações em todo o mundo, incluindo a Administração Nacional de Segurança Nuclear dos EUA, responsável pelo projeto e manutenção do arsenal nuclear do país. Em pelo menos alguns dos ataques, a Microsoft responsabilizou os grupos Linen Typhoon e Violet Typhoon, patrocinados pelo governo chinês, assim como outro grupo baseado na China que chama de Storm-2603. Em resposta às alegações, a embaixada chinesa declarou que se opõe a todas as formas de ciberataques, enquanto também contesta “difamações contra outros sem evidências concretas.”
Dinh Ho Anh Khoa, um pesquisador da empresa de cibersegurança vietnamita Viettel, revelou que o SharePoint possuía vulnerabilidades desconhecidas em maio, durante a Pwn2Own, uma conferência em Berlim organizada pela iniciativa de Childs, onde hackers procuram vulnerabilidades críticas em segurança diante de um público ao vivo. Após a demonstração pública, Khoa se reuniu em uma sala privada com Childs e um representante da Microsoft, onde explicou o exploit em detalhes e entregou um documento completo. A Microsoft validou a pesquisa e imediatamente começou a trabalhar em uma correção. Khoa recebeu US$ 100.000 pelo trabalho.
A Microsoft levou cerca de 60 dias para desenvolver uma correção. No dia 7 de julho, um dia antes de divulgar o patch publicamente, hackers atacaram servidores do SharePoint, segundo pesquisadores de cibersegurança.
É possível que os hackers tenham encontrado os bugs de forma independente e começado a explorá-los no mesmo dia que a Microsoft os compartilhou com os membros do MAPP, diz Childs. No entanto, ele observa que isso seria uma coincidência inacreditável. A outra possibilidade evidente é que alguém tenha compartilhado as informações com os atacantes.
O vazamento de informações sobre um patch pendente seria uma falha de segurança substancial, mas “já aconteceu antes,” afirma Jim Walter, pesquisador sênior da empresa de cibersegurança SentinelOne.
Desde 2012, o MAPP já foi alvo de supostos vazamentos, quando a Microsoft acusou a Hangzhou DPtech Technologies Co., uma empresa chinesa de segurança de redes, de divulgar informações que expuseram uma grande vulnerabilidade no Windows. A Hangzhou DPtech foi removida do grupo MAPP. Na época, um representante da Microsoft declarou que havia também “reforçado controles existentes e tomado medidas para proteger melhor nossa informação.”
Em 2021, a Microsoft suspeitou de pelo menos outros dois parceiros chineses do MAPP de vazarem informações sobre vulnerabilidades em seus servidores Exchange, levando a uma campanha de hackeamento global que a Microsoft atribuiu a um grupo de espionagem chinês chamado Hafnium. Foi uma das piores violações já sofridas pela empresa — dezenas de milhares de servidores Exchange foram hackeados, incluindo da Autoridade Bancária Europeia e do Parlamento Norueguês.
Após o incidente de 2021, a empresa considerou revisar o programa MAPP, conforme relatado anteriormente pela Bloomberg. No entanto, não divulgou se mudanças foram efetivamente implementadas ou se vazamentos foram descobertos.
Uma lei chinesa de 2021 exige que qualquer empresa ou pesquisador de segurança que identifique uma vulnerabilidade de segurança a reporte em até 48 horas ao Ministério da Indústria e Tecnologia da Informação do governo, de acordo com um relatório do Atlantic Council. Algumas das empresas chinesas que permanecem envolvidas no MAPP, como a Beijing CyberKunlun Technology Co Ltd., também são membros de um programa governamental de vulnerabilidades, o China National Vulnerability Database, operado pelo Ministério da Segurança do Estado da China, conforme sites do governo chinês.
Eugenio Benincasa, pesquisador no Centro de Estudos de Segurança da ETH Zurich, afirma que há uma falta de transparência sobre como as empresas chinesas equilibram seus compromissos para salvaguardar vulnerabilidades compartilhadas pela Microsoft com requisitos de compartilhamento de informações com o governo chinês. “Sabemos que algumas dessas empresas colaboram com agências de segurança do estado e que o sistema de gerenciamento de vulnerabilidades é altamente centralizado”, diz Benincasa. “Esta é, sem dúvida, uma área que merece uma análise mais cuidadosa.”
