Vazamento da Microsoft pode ser o culpado por hack massivo do servidor SharePoint

A Microsoft está tentando determinar se seu próprio sistema de alerta precoce de vulnerabilidades foi a fonte de um vazamento que levou a uma violação massiva de recursos do SharePoint. O sistema está vinculado a empresas de segurança cibernética, e a gigante do software está tentando determinar se invasores o exploraram antes que as vulnerabilidades do SharePoint fossem corrigidas.

Fonte da imagem: BoliviaInteligente / unsplash.com

«Como parte do nosso procedimento operacional padrão, analisaremos este incidente, identificaremos áreas para melhorias e as implementaremos amplamente”, disse um representante da Microsoft, citado pela Bloomberg. Ele também observou que os programas de parceria ajudam a empresa a garantir a segurança. A Microsoft atribuiu uma série de ataques ao SharePoint a hackers chineses, que, segundo a empresa, são apoiados pelo governo do país.

Pelo menos uma dúzia de empresas chinesas participam do Programa de Proteção Ativa da Microsoft (MAPP). Ele existe há 17 anos e cada novo participante precisa comprovar que é um fornecedor de soluções de segurança cibernética e não produz ferramentas de hacking, incluindo software de teste de penetração. Ao assinar um acordo de confidencialidade, essas empresas recebem informações sobre novos patches de vulnerabilidade 24 horas antes da própria Microsoft publicá-los. Os participantes mais confiáveis do programa recebem informações cinco dias antes.

A empresa japonesa de segurança cibernética Trend Micro confirmou ter recebido uma notificação sobre duas vulnerabilidades perigosas do SharePoint através do canal MAPP e cogitou a possibilidade de um vazamento; mas mesmo agora, não tem dúvidas sobre o valor do programa. A série de ataques afetou mais de 400 empresas e agências governamentais em todo o mundo, incluindo a Administração Nacional de Segurança Nuclear dos EUA, responsável pelo desenvolvimento e manutenção de armas nucleares. Segundo a Microsoft, o ataque em massa foi organizado pelos grupos de hackers chineses Linen Typhoon, Violet Typhoon e Storm-2603.

Fonte da imagem: Alex Carmona / unsplash.com

As vulnerabilidades do SharePoint foram relatadas pela primeira vez em maio deste ano por Dinh Ho Anh Khoa, especialista da empresa vietnamita Viettel, na conferência Pwn2Own, em Berlim, onde entregou todos os documentos a um representante da Microsoft e recebeu uma recompensa de US$ 100.000. A empresa levou cerca de 60 dias para desenvolver uma correção para as vulnerabilidades, mas em 7 de julho, um dia antes do lançamento público do patch, hackers lançaram um ataque em larga escala aos servidores do SharePoint. Eles poderiam tê-las identificado e começado a explorá-las no mesmo dia em que a Microsoft distribuiu o alerta aos membros do MAPP, mas isso, segundo os especialistas, teria sido uma coincidência impensável — um cenário mais provável é que alguém tenha compartilhado as informações com cibercriminosos.

O MAPP já foi fonte de vazamentos anteriormente. Em 2012, a Microsoft acusou a empresa chinesa Hangzhou DPtech de divulgar informações sobre uma vulnerabilidade grave no Windows e a removeu do programa. Em 2021, a Microsoft suspeitou que pelo menos dois parceiros chineses do MAPP vazaram informações sobre uma vulnerabilidade no servidor Exchange, o que levou a um ataque em larga escala, segundo a empresa, organizado pelo grupo chinês Hafnium. Em seguida, dezenas de milhares de servidores Exchange foram hackeados, incluindo recursos pertencentes à Autoridade Bancária Europeia e ao Parlamento Norueguês.

Após o incidente de 2021, a corporação considerou revisar os mecanismos do MAPP, mas não se sabe como isso terminou. Em 2021, entrou em vigor na China uma lei que exige que qualquer empresa ou pesquisador na área de segurança cibernética relate todas as vulnerabilidades de sistema descobertas ao Ministério da Indústria e Tecnologia da Informação do país em até 48 horas. Algumas empresas chinesas, como a Beijing CyberKunlun Technology Co Ltd., são membros do MAPP e participantes do programa do governo local, o Banco de Dados Nacional de Vulnerabilidades. Ao mesmo tempo, especialistas observam que há falta de transparência em relação à forma como as empresas chinesas equilibram suas obrigações sob o programa da Microsoft e suas obrigações sob a legislação chinesa.