Microsoft ha acusado a grupos patrocinados por el estado chino de explotar su software de gestión de documentos SharePoint para atacar a usuarios, incluidas grandes corporaciones y agencias gubernamentales.

El gigante estadounidense del software anunció el martes que dos grupos, Linen Typhoon y Violet Typhoon, habían explotado una supuesta vulnerabilidad de suplantación de identidad para atacar servidores utilizados por clientes de Microsoft. Otro grupo con sede en China, Storm-2603, también aprovechó estas vulnerabilidades.

Microsoft afirmó que estas vulnerabilidades, denominadas “de día cero”, afectaron a los clientes que operaban sus propios servidores locales y no a quienes utilizaban su servicio en la nube. Añadió que, desde entonces, había publicado nuevas actualizaciones de seguridad integrales.

“Las investigaciones sobre otros actores que también utilizan estos exploits siguen en curso”, declaró Microsoft en un comunicado. “Con la rápida adopción de estos exploits, Microsoft considera con gran certeza que los actores de amenazas seguirán integrándolos en sus ataques”.

Los detalles del ataque fueron revelados el domingo cuando Microsoft emitió un parche para la vulnerabilidad y dijo que estaba implementando otras correcciones después de que surgiera que los piratas informáticos habían explotado la vulnerabilidad para atacar a sus clientes.

Agencias federales y estatales, universidades y empresas energéticas de EE. UU. se vieron afectadas por el ataque informático a SharePoint, según informó anteriormente el Washington Post. Bloomberg ha informado que los gobiernos nacionales de Europa y Oriente Medio también se han visto afectados.

Microsoft es un importante contratista federal y ha sido objeto de fuertes críticas recientemente tras sufrir graves ciberataques contra sus sistemas. En 2023, su servicio de correo electrónico, Microsoft Exchange Online, fue vulnerado y legisladores estadounidenses fueron blanco de los hackers Storm-0558, respaldados por el gobierno chino.

Eye Security, una empresa de ciberseguridad con sede en los Países Bajos, identificó por primera vez la vulnerabilidad de seguridad de SharePoint la semana pasada. Afirmó haber establecido que decenas de sistemas habían sido comprometidos y que los atacantes estaban llevando a cabo una “campaña coordinada de explotación masiva”. Ha localizado víctimas en Arabia Saudita, Vietnam, Omán y los Emiratos Árabes Unidos.

Los ataques aumentaron significativamente tras la amplia difusión de la vulnerabilidad la semana pasada, según CrowdStrike, una empresa de seguridad cibernética con sede en Estados Unidos.

Más de 200 millones de clientes usaban SharePoint en diciembre de 2020, aunque la cifra de quienes utilizan servidores locales probablemente sea significativamente menor.

La Junta de Revisión de Seguridad Cibernética, un panel ahora disuelto que revisaba incidentes cibernéticos e informaba al Secretario de Seguridad Nacional de EE. UU., declaró el año pasado que las prácticas corporativas de Microsoft “relegaron la prioridad tanto a las inversiones en seguridad empresarial como a la gestión rigurosa de riesgos”. Exigió una reestructuración de la cultura de la empresa.

El gigante del software también ha sido objeto de nuevas críticas en las últimas semanas después de que un informe de ProPublica descubriera que había utilizado ingenieros con sede en China para realizar trabajos de soporte para contratos que tiene del Departamento de Defensa de Estados Unidos.

“Microsoft ha realizado cambios en nuestro soporte para los clientes del gobierno de EE. UU. para garantizar que ningún equipo de ingeniería con base en China brinde asistencia técnica para la nube del gobierno del Departamento de Defensa y los servicios relacionados”, publicó Frank Shaw, jefe de comunicaciones de Microsoft, en X la semana pasada.

Fuente: https://www.ft.com/content/e9dca56d-5a38-463b-8abb-70f4c635da7b?shareType=nongift