0
0
Empresa acusa militares chineses de utilizarem o programa de divulgação de vulnerabilidades ao país para descobrir e desenvolver explorações de dia zero
A Microsoft acusou o governo chinês de utilizar o programa de divulgação de vulnerabilidades ao país para descobrir e desenvolver explorações de dia zero. Em julho do ano passado, a Administração do Ciberespaço da China (CAC) emitiu regras mais rígidas sobre a divulgação de vulnerabilidades para empresas que operam dentro de suas fronteiras.
Entretanto, a Microsoft acredita que os militares chineses exploram as vulnerabilidades antes de divulgá-las de forma ampla, de acordo com investigação sobre o tratamento dado à vulnerabilidade Log4j. No início deste ano, surgiram relatos de que o governo chinês havia homologado a gigante do varejo chinês Alibaba para relatar a vulnerabilidade à Apache Software Foundation primeiro, que gerencia o software desenvolvido e mantido por um punhado de voluntários, e não ao governo.
O Conselho de Revisão de Segurança Cibernética do Departamento de Segurança Interna dos EUA conversou com o governo chinês e “não encontrou evidências” de que o país usou seu conhecimento privilegiado sobre as vulnerabilidades para explorar redes americanas.
Mas em um relatório de segurança de 114 páginas divulgado na sexta-feira, 4, a Microsoft acusou abertamente o governo chinês de abusar das novas regras e descreve como grupos alinhados à China têm explorado cada vez mais vulnerabilidades globalmente desde que foram implementadas.
“O aumento do uso de dias zero no último ano por operadores baseados na China provavelmente reflete o primeiro ano completo dos requisitos de divulgação de vulnerabilidades da China para a comunidade de segurança do país e um passo importante no uso de explorações de dia zero como prioridade do Estado”, disse a Microsoft em um comunicado enviado ao site The Record. “Enquanto observamos muitos operadores apoiados por Estados-nação desenvolvendo explorações de vulnerabilidades desconhecidas, os hackers baseados na China são particularmente proficientes em descobrir e desenvolver explorações de dia zero.”
A Microsoft conta que as regras entraram em vigor em setembro de 2021 e marcaram “a primeira vez no mundo que um governo exigiu o relatório de vulnerabilidades a uma autoridade para revisão antes de a vulnerabilidade ser compartilhada com o proprietário do produto”. A gigante da tecnologia acrescentou que o regulamento “pode permitir que elementos do governo chinês armazenem vulnerabilidades relatadas para transformá-los em armas”.
A Microsoft passou a apontar o uso de vulnerabilidades específicas de dia zero por hackers ligados ao governo chinês, incluindo a vulnerabilidade SolarWinds CVE-2021-35211, duas vulnerabilidades que afetam os produtos Zoho, e o CVE-2021-42321, uma exploração de dia zero para uma vulnerabilidade do Microsoft Exchange.
A Microsoft afirma que um “operador afiliado à China” provavelmente tinha o código de exploração de dia zero para o CVE-2022-26134 — uma vulnerabilidade que afeta os produtos Atlassian — quatro dias antes da vulnerabilidade ser divulgada publicamente em 2 de junho. Em dezembro de 2021, a empresa obteve um mandado judicial que permitia a apreensão de 42 domínios usados por um grupo chinês de espionagem cibernética em operações recentes que visavam organizações nos EUA e em outros 28 países.
A gigante da tecnologia observou que, desde essa ação, o mesmo grupo de hackers chinês procurou estabelecer o acesso que perdeu. Entre março e maio deste ano, o grupo conseguiu comprometer ao menos cinco agências governamentais em todo o mundo.
FONTE: CISO ADVISOR