Redazione RHC : 28 julio 2025 08:31
Microsoft ha iniciado una investigación interna para determinar si una filtración de información confidencial del Programa de Protecciones Activas de Microsoft (MAPP) permitió a hackers chinos patrocinados por el estado explotar graves vulnerabilidades de SharePoint antes del lanzamiento oficial de los parches de seguridad.
La investigación se produce en medio de una campaña de ciberataques que ha comprometido a más de 400 organizaciones a nivel mundial, incluida la Administración Nacional de Seguridad Nuclear (NNSA), responsable del arsenal nuclear de Estados Unidos.
Las vulnerabilidades de SharePoint (CVE-2025-53770 y CVE-2025-53771) fueron reveladas por primera vez en mayo por el investigador vietnamita Dinh Ho Anh Khoa en la conferencia de ciberseguridad Pwn2Own en Berlín, donde recibió un premio de $100,000.
Posteriormente, Microsoft notificó a los socios de MAPP sobre las vulnerabilidades críticas el 24 de junio, el 3 y el 7 de julio. El 7 de julio, fecha de la última notificación, Se detectaron los primeros exploits activos contra servidores SharePoint, lo que sugiere una posible filtración del programa MAPP.
Según Dustin Childs, de la Iniciativa de Día Cero de Trend Micro, es probable que alguno de los socios utilizara información confidencial para desarrollar rápidamente los exploits.
La sofisticada cadena de ataque, Denominado «ToolShell», permite a los hackers eludir los controles de autenticación y ejecutar código malicioso en servidores SharePoint. La capacidad de robar claves de cifrado es especialmente crítica, lo que permite a los atacantes mantener el acceso incluso después de aplicar los parches.
Microsoft atribuye los ataques a tres grupos APT vinculados a China: Linen Typhoon, Violet Typhoon y Storm-2603. Entre las víctimas más susceptibles se encuentra la NNSA, que afirmó haber sufrido daños limitados gracias al uso de los servicios en la nube de Microsoft.
La empresa de ciberseguridad Eye Security, primera en identificar los ataques, confirmó cuatro oleadas de ataques y más de 400 sistemas comprometidos, que afectaron a agencias gubernamentales, empresas privadas e instituciones educativas en Norteamérica, Europa y Asia.
Esta no es la primera vez que el programa MAPP ha sido objeto de persecución. En 2012, Microsoft prohibió a Hangzhou DPtech Technologies Co. de China por la divulgación no autorizada de una prueba de concepto. Más recientemente, Qihoo 360 Technology Co. también fue eliminada tras ser incluida en la Lista de Entidades de EE. UU.
El programa MAPP, con 17 años de antigüedad, proporciona a aproximadamente 100 socios globales detalles técnicos sobre vulnerabilidades con hasta cinco días de anticipación a su divulgación pública, para permitir una protección preventiva.
Según Bloomberg, una docena de empresas chinas participan actualmente en el programa.
Microsoft confirmó que realizará una revisión interna para reforzar las medidas de seguridad, enfatizando que el intercambio de información con los socios de MAPP sigue siendo fundamental para proteger a los usuarios de las nuevas ciberamenazas.
Mientras tanto, China ha negado cualquier responsabilidad, calificando las acusaciones de infundadas y reiterando su oposición a las actividades de piratería informática.
Los expertos advierten que estas vulnerabilidades se están convirtiendo en problemas reales. Un exploit en tan solo dos meses demuestra la evolución de las ciberamenazas, cada vez más rápidas y sofisticadas.
Este caso también pone de relieve el delicado equilibrio entre la transparencia en ciberseguridad y los riesgos que supone una posible filtración de datos sensibles.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
