Prima di procedere
Microsoft è al centro di un'indagine interna volta a determinare se la sua poderosa sistema di allerta precoce sulle vulnerabilità sia stata la causa di una fuga di informazioni che ha contribuito al massiccio attacco informatico ai danni dei sistemi SharePoint. Tale servizio è stato progettato per avvisare numerose aziende specializzate nel settore della cybersicurezza, ma ora sorge il dubbio che questa rete di protezione abbia potuto invece rappresentare un pericolo. La vulnerabilità di SharePoint è stata rapidamente scoperta e sfruttata dai cybercriminali prima che Microsoft riuscisse a risolverla.
Secondo quanto riportato da Bloomberg, Microsoft ha dichiarato che l'indagine fa parte delle sue procedure standard, con l'obiettivo di identificare le lacune e implementare miglioramenti su vasta scala. Un portavoce della società ha evidenziato l'importanza dei programmi di partenariato nell'assicurare la sicurezza, anche se la società ha indicato che dietro la serie di attacchi vi sarebbero degli hacker cinesi supportati dalle autorità governative.
La Microsoft Active Protections Program (MAPP), il programma attraverso cui Microsoft condivide informazioni critiche sulle vulnerabilità con aziende fidate, comprende almeno una dozzina di imprese cinesi. Da 17 anni, questa iniziativa richiede ad ogni nuovo partecipante di dimostrare la sua affidabilità come fornitore di soluzioni di cybersicurezza e di non produrre strumenti di hacking. I partner del MAPP ricevono infatti notifiche sulle nuove vulnerabilità con un anticipo di 24 ore sulla pubblicazione ufficiale di Microsoft, e i più fidati ricevono tali informazioni addirittura con un anticipo di cinque giorni.
Tra i partner del MAPP, la giapponese Trend Micro ha confermato di aver ricevuto l'allerta su due gravi vulnerabilità di SharePoint, ipotizzando una possibile fuga di dati. Nonostante tali sospetti, l'azienda continua a vedere un grande valore nel programma. Le vittime degli attacchi contano oltre 400 tra aziende e istituzioni governative in tutto il mondo, incluso il National Nuclear Security Administration degli Stati Uniti, responsabile dello sviluppo e manutenzione delle armi nucleari.
La scoperta delle vulnerabilità di SharePoint risale a maggio 2023, quando l'esperto della compagnia vietnamita Viettel, Dinh Ho Anh Khoa, le ha presentate alla conferenza Pwn2Own di Berlino. Microsoft ha impiegato circa 60 giorni per sviluppare un correttivo e il 7 luglio, poco prima del rilascio pubblico della patch, gli hacker hanno iniziato una massiccia offensiva sui server SharePoint. La rapidità dell'attacco ha sollevato sospetti sulla possibilità che qualcuno abbia condiviso informazioni riservate con i cybercriminali.
Non è la prima volta che MAPP è al centro di controversie. Già nel 2012, Microsoft ha accusato la cinese Hangzhou DPtech di aver divulgato informazioni su una seria vulnerabilità di Windows, ponendo fine alla loro collaborazione. Nel 2021, almeno due partner cinesi sono stati sospettati di aver rivelato informazioni confidenziali sui server Exchange, facilitando un attacco di vaste dimensioni attribuito al gruppo cinese Hafnium.
Nel tentativo di prevenire ulteriori incidenti, Microsoft ha considerato di ridisegnare il funzionamento del MAPP, sebbene nulla si sappia sul risultato di questa riflessione. A ciò si aggiunge il contesto normativo in Cina che, dal 2021, obbliga le aziende di cybersicurezza a segnalare entro 48 ore al Ministero dell'Industria e delle Tecnologie dell'Informazione ogni vulnerabilità scoperta. Questa legge pone sfide particolari per le aziende come Beijing CyberKunlun Technology, che operano nel rispetto delle linee guida di Microsoft e delle normative cinesi, creando possibili conflitti tra impegni aziendali e legali.
