A Microsoft cortou o acesso de empresas chinesas a alertas antecipados sobre vulnerabilidades encontradas em seus produtos de software. A decisão foi tomada após uma investigação sobre uma série de ataques que exploraram vulnerabilidades conhecidas, mas ainda não corrigidas, do SharePoint.
Fonte da imagem: BoliviaInteligente / unsplash.com
A empresa alterou o mecanismo do projeto Microsoft Active Protections Program (MAPP) em julho, desvinculando empresas de notificações em “países onde são obrigadas a reportar vulnerabilidades aos seus governos”, incluindo a China, explicou o porta-voz da Microsoft, David Cuddy, à Bloomberg. O programa envolve a divulgação de informações sobre vulnerabilidades em produtos Microsoft antes do lançamento de atualizações que as corrigem. De acordo com uma versão, a série de ataques a servidores SharePoint foi causada por um vazamento dessas informações por uma empresa chinesa, que foi usada por hackers locais. Como resultado, os recursos de mais de 400 agências e corporações governamentais foram hackeados, incluindo a Administração Nacional de Segurança Nuclear dos EUA, que desenvolve e presta serviços para armas nucleares americanas.
A Microsoft não fornecerá mais às empresas transferidas para o novo modo de cooperação o código demonstrativo dos mecanismos das vulnerabilidades identificadas com antecedência; em vez disso, elas receberão uma descrição geral do problema, que será enviada simultaneamente ao lançamento dos patches correspondentes. “Estamos cientes do potencial de abuso, portanto, tomaremos medidas em relação às vulnerabilidades conhecidas e questões sensíveis para evitar o uso indevido de informações. Avaliamos constantemente os participantes e suspendemos ou encerramos sua participação no programa se constatarmos que violaram o acordo conosco, que inclui a proibição de participação em ataques agressivos”, disse o Sr. Cuddy. Ele não divulgou os resultados da investigação sobre a série de ataques ao SharePoint, mas observou que há “muitas hipóteses de trabalho sobre as causas”.
Fonte da imagem: Sam Torres / unsplash.com
A Embaixada da China em Washington afirmou não ter detalhes sobre o programa da Microsoft ou possíveis vazamentos do MAPP, mas acrescentou que a segurança cibernética é um “desafio compartilhado” por todos os países e deve ser abordada por meio do diálogo e da cooperação. Pelo menos 12 empresas chinesas participam do MAPP, segundo a Microsoft, e a gigante da tecnologia já as notificou sobre vulnerabilidades encontradas pelo menos 24 horas antes do lançamento de atualizações relevantes. Em 2021, a China aprovou uma lei que exige que qualquer empresa ou pesquisador de segurança cibernética relate uma vulnerabilidade ao Ministério da Indústria e Tecnologia da Informação da China em até 48 horas.
Há uma versão de que o MAPP se tornou a fonte do vazamento de informações em 2012, quando a Microsoft acusou sua parceira chinesa Hangzhou DPtech Technologies Co. de divulgar informações sobre uma vulnerabilidade grave no Windows. Em 2021, a Microsoft suspeitou de outras duas empresas chinesas de ações semelhantes, cujas ações poderiam ter levado a um ataque em larga escala aos servidores Exchange realizado pelo grupo Hafnium. A empresa americana também relatou ter fechado os “centros de transparência” que havia criado anteriormente na China, onde vinha familiarizando as autoridades locais com o código-fonte de seus produtos desde 2003, a fim de convencê-las de que o software não continha backdoors – elas pararam de visitá-los em 2019.
Anteriormente, uma organização americana de direitos humanos publicou os resultados de uma investigação que constatou que organizações chinesas associadas à espionagem cibernética operavam no mesmo campus em Wuhan que os participantes do MAPP. Essas organizações operavam no território do Centro Nacional de Segurança Cibernética, que faz parte do Ministério da Segurança do Estado da China. O representante da Microsoft, David Cuddy, negou que a Microsoft estivesse cooperando com o Centro Nacional de Segurança. Um representante da Embaixada da China em Washington afirmou não ter conhecimento dos detalhes da investigação, mas que seu país se opõe à atividade de hackers, a combate de acordo com a lei e se opõe a ataques “sob o pretexto de questões de segurança cibernética”.