Fuente: Pixabay / CC0 Public Domain
Microsoft Corp. podría revisar un programa que comparte fallas de codificación en sus productos con otras empresas después de que una supuesta filtración haya provocado un ciberataque generalizado en miles de clientes de correo electrónico de Microsoft Exchange en todo el mundo.
El gigante tecnológico considera cómo y cuándo compartir datos con al menos algunos de los 81 participantes en Microsoft Active Protections, según seis personas que conocen, incluidos miembros actuales que han buscado el anonimato, citando el acuerdo de confidencialidad de Microsoft. Otros han pedido permanecer en el anonimato porque no están autorizados a discutir el asunto públicamente.
MAPP proporciona a algunos clientes información sobre vulnerabilidades en productos y servicios de Microsoft días o semanas antes de la divulgación pública. Es ampliamente considerado por los participantes como una herramienta crítica de intercambio de datos para protegerse contra posibles ataques.
Sin embargo, a Microsoft le preocupa que los participantes de MAPP hayan alertado a los piratas informáticos después negocio compartió la vulnerabilidad crítica con su círculo superior alrededor del 18 de febrero, según cuatro personas familiarizadas con la investigación de Microsoft sobre la causa del ataque. Microsoft lanzó públicamente actualizaciones de software para corregir el problema el 2 de marzo.
Según personas familiarizadas con la encuesta, la investigación de la empresa se centró en al menos dos empresas chinas como posibles fuentes de la filtración. Cuatro asistentes a MAPP dijeron a Bloomberg News que recientemente publicaron registros detallados de la actividad de la red a Microsoft desde el ataque a Exchange. En algunos casos, las empresas proporcionaron datos de forma voluntaria sin solicitud, mientras que en otros, Microsoft ha solicitado datos adicionales. Las empresas pidieron permanecer en el anonimato, citando un acuerdo de confidencialidad con Microsoft.
Tras la divulgación de la vulnerabilidad por parte de Microsoft a finales de febrero, tuvo lugar uno de los ciberataques más exitosos y generalizados de la historia. Microsoft culpó a los piratas informáticos chinos patrocinados por el estado llamados Hafnium por el ataque que expuso a más de 60.000 sistemas de correo electrónico gubernamentales, corporativos y privados en todo el mundo, la mayoría de los cuales tuvo lugar el último fin de semana de febrero.
Microsoft se negó a comentar sobre posibles cambios en MAPP, ni discutió sus divulgaciones de MAPP en febrero o posibles filtraciones de los participantes. La compañía dijo que sigue comprometida con el programa y con una amplia lista de miembros de Estados Unidos, Israel, Rusia, China, Japón, Australia, India y partes de Europa.
“Creemos que compartir información con la comunidad de seguridad puede traer muchos beneficios para proteger a nuestros clientes mutuos de los ataques”, dijo la compañía en un comunicado. “Todavía estamos evaluando cuál es la mejor manera de equilibrar los beneficios de este intercambio con el riesgo de una divulgación temprana”.
En respuesta a las preguntas de Bloomberg News, el Ministerio de Relaciones Exteriores de China dijo: “China se opone firmemente a cualquier forma de ataque o infiltración en línea. Ésta es nuestra posición clara y coherente. Leyes chinas de recopilación de datos relevantes y salvaguardas claramente definidas protección de Datos y oponerse firmemente a los ciberataques y otras actividades delictivas ”.
China propuso un estándar de seguridad global que, según ellos, es “en beneficio de la gobernanza digital internacional” y pidió a otros que trabajen juntos para proteger la seguridad global de los datos. “Esperamos que los medios de comunicación adopten una actitud profesional y responsable, basándose en pruebas exhaustivas para determinar la naturaleza de los eventos en el ciberespacio, pero no en especulaciones infundadas”, se lee en el comunicado del ministerio.
Hasta que se creó MAPP, tanto los delincuentes como los investigadores informáticos esperaban que Microsoft lanzara los parches el segundo martes de cada mes, conocido como “Martes de parches”. Los dos bandos se apresurarían a reproducir los parches con la esperanza de identificar una vulnerabilidad raíz que los atacantes pudieran aprovechar y de la que los defensores tratarían de protegerse, según Microsoft.
El parche del martes todavía existe. MAPP se creó en 2008 para dar a algunos de los clientes más importantes de Microsoft una ventaja en la lucha contra los delincuentes.
Participaron al menos 13 empresas chinas. Dos de ellos han sido eliminados. Hangzhou DPtech Technologies Co. fue expulsado en 2012 por violar un acuerdo de no divulgación, según Microsoft. Un investigador de ciberseguridad descubrió que Hangzhou reveló evidencia de un defecto crítico en un producto de Microsoft a los piratas informáticos chinos.
El año pasado, Qihoo 360 Technology Co. fue retirado después de que se convirtiera en un objetivo de los controles de exportación de Estados Unidos debido a preocupaciones de seguridad nacional, según tres personas familiarizadas con el caso. Un año antes, Microsoft había indicado a Qihoo 360, Tencent Holdings Ltd. y Palo Alto Networks Inc. como principales contribuyentes a MAPP.
Hangzhou DPTech no respondió a las preguntas sobre su eliminación de MAPP. Qihoo declinó hacer comentarios.
MAPP se divide en tres niveles: nivel de entrada, notificación anticipada y validación. Los miembros del grupo de validación, en su mayoría empresas de detección de virus, están invitados a recibir vulnerabilidades, a veces hasta con una semana de anticipación. revelación pública. Ciertos detalles compartidos con los participantes de MAPP están sujetos a un acuerdo de confidencialidad.
Microsoft puede optar por reorganizar a sus miembros principales, según tres personas familiarizadas con las opciones que está considerando la compañía. El Centro de Respuesta de Seguridad de Microsoft, que ejecuta MAPP, también podría simplemente reevaluar cuánta inteligencia crítica comparten con empresas que se cree que están cerca de ciertos países, incluida China, según la gente.
Microsoft también podría incrustar una prueba única en partes de su código llamadas marcas de agua que sirven como una especie de ruta de navegación digital en caso de una fuga. No está claro si las marcas de agua se usaron en los datos proporcionados a los participantes de MAPP en febrero, pero según uno, Microsoft las usó antes y puede volver a introducirlas en el futuro.
Microsoft requiere que los participantes de MAPP compartan datos y vulnerabilidades de la misma manera que revela errores en sus productos. Muchos participantes de MAPP dijeron a Bloomberg News que las solicitudes de información de Microsoft han aumentado en los últimos años, pero especialmente en los meses posteriores a los ciberataques de Exchange y SolarWinds. En el último caso, que se expuso públicamente en diciembre, los piratas informáticos rusos se infiltraron en al menos nueve agencias estadounidenses y 100 empresas del sector privado después de instalar un código malicioso en las actualizaciones de software de SolarWinds Corp. con sede en Texas.
Pero Microsoft conlleva algunos riesgos. Se supone que muchas empresas MAPP tienen al menos vínculos informales con el aparato de seguridad estatal en su país de residencia, lo que significa que las divulgaciones de vulnerabilidades de Microsoft pueden compartirse con los gobiernos con cierta frecuencia, dijo un ex miembro de MAPP que pidió no hacer esto. . identificado debido a NDA.
Es poco probable que Microsoft elimine a los participantes chinos a pesar de una posible filtración de Exchange, según dos personas familiarizadas con la revisión de MAPP. Pero la compañía puede limitar la cantidad de datos que comparte con miembros en China, dijeron las personas. La ley de ciberseguridad china requiere que las corporaciones brinden acceso a su tecnología y ayuden en la investigación de delitos y seguridad nacional.
Si Microsoft eliminara a los participantes de MAPP de países sin vínculos políticos con Estados Unidos, la empresa debilitaría parte de su propia operación de inteligencia.
“Si bien existen riesgos al trabajar con empresas iraníes, norcoreanas, rusas o chinas, Microsoft también está utilizando el programa en su beneficio”, dijo Chester Wiśniewski, científico jefe de la firma de seguridad cibernética Sophos.
El presidente y director legal de Microsoft, Brad Smith, dijo en enero de 2020 que la compañía genera alrededor del 2% de sus ventas globales en China, o alrededor de $ 2.86 mil millones este año. El potencial para aumentar estos ingresos podría motivar la política de divulgación de información de la empresa, dijo Robert Potter, director ejecutivo de Internet 2.0, una empresa de ciberseguridad que asesora a los gobiernos de Estados Unidos y Australia.
“Como todas las grandes empresas, Microsoft tiene que equilibrar el mantenimiento del acceso al mercado en China y las preocupaciones de seguridad”, dijo Potter. “Con el tiempo, este equilibrio se vuelve cada vez más difícil de mantener, lo que genera riesgos para otros clientes. La presión hace que esta decisión sea más binaria.
2021 Bloomberg LP Distribución por Tribune Content Agency, LLC