Redazione RHC : 28 julio 2025 08:31
Microsoft ha iniciado una investigación interna para determinar si una filtración de información confidencial del Programa de Protecciones Activas de Microsoft (MAPP) permitió a hackers chinos patrocinados por el estado explotar graves vulnerabilidades de SharePoint antes del lanzamiento oficial de los parches de seguridad.
La investigación se produce en medio de una campaña de ciberataques que ha comprometido a más de 400 organizaciones a nivel mundial, incluida la Administración Nacional de Seguridad Nuclear (NNSA), responsable del arsenal nuclear de Estados Unidos.
Las vulnerabilidades de SharePoint (CVE-2025-53770 y CVE-2025-53771) fueron reveladas por primera vez en mayo por el investigador vietnamita Dinh Ho Anh Khoa en la conferencia de ciberseguridad Pwn2Own en Berlín, donde recibió un premio de $100,000.
Posteriormente, Microsoft notificó a los socios de MAPP sobre las vulnerabilidades críticas el 24 de junio, el 3 y el 7 de julio. El 7 de julio, fecha de la última notificación, Se detectaron los primeros exploits activos contra servidores SharePoint, lo que sugiere una posible filtración del programa MAPP.
Según Dustin Childs, de la Iniciativa de Día Cero de Trend Micro, es probable que alguno de los socios utilizara información confidencial para desarrollar rápidamente los exploits.
La sofisticada cadena de ataque, Denominado «ToolShell«, permite a los hackers eludir los controles de autenticación y ejecutar código malicioso en servidores SharePoint. La capacidad de robar claves de cifrado es especialmente crítica, lo que permite a los atacantes mantener el acceso incluso después de aplicar los parches.
Microsoft atribuye los ataques a tres grupos APT vinculados a China: Linen Typhoon, Violet Typhoon y Storm-2603. Entre las víctimas más susceptibles se encuentra la NNSA, que afirmó haber sufrido daños limitados gracias al uso de los servicios en la nube de Microsoft.
La empresa de ciberseguridad Eye Security, primera en identificar los ataques, confirmó cuatro oleadas de ataques y más de 400 sistemas comprometidos, que afectaron a agencias gubernamentales, empresas privadas e instituciones educativas en Norteamérica, Europa y Asia.
Esta no es la primera vez que el programa MAPP ha sido objeto de persecución. En 2012, Microsoft prohibió a Hangzhou DPtech Technologies Co. de China por la divulgación no autorizada de una prueba de concepto. Más recientemente, Qihoo 360 Technology Co. también fue eliminada tras ser incluida en la Lista de Entidades de EE. UU.
El programa MAPP, con 17 años de antigüedad, proporciona a aproximadamente 100 socios globales detalles técnicos sobre vulnerabilidades con hasta cinco días de anticipación a su divulgación pública, para permitir una protección preventiva.
Según Bloomberg, una docena de empresas chinas participan actualmente en el programa.
Microsoft confirmó que realizará una revisión interna para reforzar las medidas de seguridad, enfatizando que el intercambio de información con los socios de MAPP sigue siendo fundamental para proteger a los usuarios de las nuevas ciberamenazas.
Mientras tanto, China ha negado cualquier responsabilidad, calificando las acusaciones de infundadas y reiterando su oposición a las actividades de piratería informática.
Los expertos advierten que estas vulnerabilidades se están convirtiendo en problemas reales. Un exploit en tan solo dos meses demuestra la evolución de las ciberamenazas, cada vez más rápidas y sofisticadas.
Este caso también pone de relieve el delicado equilibrio entre la transparencia en ciberseguridad y los riesgos que supone una posible filtración de datos sensibles.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
