Redazione RHC : 28 julio 2025 08:31
Microsoft ha iniciado una investigación interna para determinar si una filtración de información confidencial del Programa de Protecciones Activas de Microsoft (MAPP) permitió a hackers chinos patrocinados por el estado explotar graves vulnerabilidades de SharePoint antes del lanzamiento oficial de los parches de seguridad.
La investigación se produce en medio de una campaña de ciberataques que ha comprometido a más de 400 organizaciones a nivel mundial, incluida la Administración Nacional de Seguridad Nuclear (NNSA), responsable del arsenal nuclear de Estados Unidos.
Las vulnerabilidades de SharePoint (CVE-2025-53770 y CVE-2025-53771) fueron reveladas por primera vez en mayo por el investigador vietnamita Dinh Ho Anh Khoa en la conferencia de ciberseguridad Pwn2Own en Berlín, donde recibió un premio de $100,000.
Posteriormente, Microsoft notificó a los socios de MAPP sobre las vulnerabilidades críticas el 24 de junio, el 3 y el 7 de julio. El 7 de julio, fecha de la última notificación, Se detectaron los primeros exploits activos contra servidores SharePoint, lo que sugiere una posible filtración del programa MAPP.
Según Dustin Childs, de la Iniciativa de Día Cero de Trend Micro, es probable que alguno de los socios utilizara información confidencial para desarrollar rápidamente los exploits.
La sofisticada cadena de ataque, Denominado «ToolShell«, permite a los hackers eludir los controles de autenticación y ejecutar código malicioso en servidores SharePoint. La capacidad de robar claves de cifrado es especialmente crítica, lo que permite a los atacantes mantener el acceso incluso después de aplicar los parches.
Microsoft atribuye los ataques a tres grupos APT vinculados a China: Linen Typhoon, Violet Typhoon y Storm-2603. Entre las víctimas más susceptibles se encuentra la NNSA, que afirmó haber sufrido daños limitados gracias al uso de los servicios en la nube de Microsoft.
La empresa de ciberseguridad Eye Security, primera en identificar los ataques, confirmó cuatro oleadas de ataques y más de 400 sistemas comprometidos, que afectaron a agencias gubernamentales, empresas privadas e instituciones educativas en Norteamérica, Europa y Asia.
Esta no es la primera vez que el programa MAPP ha sido objeto de persecución. En 2012, Microsoft prohibió a Hangzhou DPtech Technologies Co. de China por la divulgación no autorizada de una prueba de concepto. Más recientemente, Qihoo 360 Technology Co. también fue eliminada tras ser incluida en la Lista de Entidades de EE. UU.
El programa MAPP, con 17 años de antigüedad, proporciona a aproximadamente 100 socios globales detalles técnicos sobre vulnerabilidades con hasta cinco días de anticipación a su divulgación pública, para permitir una protección preventiva.
Según Bloomberg, una docena de empresas chinas participan actualmente en el programa.
Microsoft confirmó que realizará una revisión interna para reforzar las medidas de seguridad, enfatizando que el intercambio de información con los socios de MAPP sigue siendo fundamental para proteger a los usuarios de las nuevas ciberamenazas.
Mientras tanto, China ha negado cualquier responsabilidad, calificando las acusaciones de infundadas y reiterando su oposición a las actividades de piratería informática.
Los expertos advierten que estas vulnerabilidades se están convirtiendo en problemas reales. Un exploit en tan solo dos meses demuestra la evolución de las ciberamenazas, cada vez más rápidas y sofisticadas.
Este caso también pone de relieve el delicado equilibrio entre la transparencia en ciberseguridad y los riesgos que supone una posible filtración de datos sensibles.
RedazioneEl grupo Scattered Spider ha intensificado sus ataques a entornos de TI corporativos, teniendo como objetivo los hipervisores VMware ESXi de empresas estadounidenses de los sectores minorista, de tran...
Si no se arranca la maleza de raíz, volverá a crecer, mucho más vigorosa que antes. Esto es ciberdelincuencia, y este es el nuevo renacimiento, ¡el quinto desde las raíces de ...
La inteligencia sobre amenazas cibernéticas (CTI) es la práctica de recopilar, analizar y utilizar información sobre amenazas cibernéticas para proteger a las organizaciones de act...
Una evaluación de vulnerabilidad es un proceso de evaluación de sistemas informáticos, redes y aplicaciones para identificar vulnerabilidades que podrían ser explotadas por atacant...
Sasha Levin, desarrollador del kernel de Linux con amplia experiencia en NVIDIA y anteriormente en Google y Microsoft, propuso añadir a la documentación del kernel reglas formales para el us...
Para más información: [email protected]
