O "Clube VIP" da Segurança Fechou as Portas para a China
Imagine uma sala de reuniões ultrassecreta onde os maiores "xerifes" da cibersegurança recebem um dossiê com as próximas ameaças antes de todo mundo. Esse é, em essência, o Microsoft Active Protections Program (MAPP), um ecossistema projetado para criar uma frente unida contra os vilões digitais. Nele, parceiros selecionados recebem detalhes de vulnerabilidades com semanas de antecedência para prepararem suas defesas. Contudo, parece que alguém andou vazando os segredos dessa sala, e a Microsoft decidiu mudar as regras do jogo, apontando diretamente para a China.
Após uma série de ataques devastadores que exploraram falhas no SharePoint, a gigante de Redmond teria decidido cortar o acesso privilegiado de empresas chinesas ao programa. De acordo com informações publicadas pelo The Register, que citam uma declaração de David Cuddy, porta-voz da Microsoft, à Bloomberg, a política foi alterada. Empresas em países que exigem o reporte de vulnerabilidades aos seus governos — um eufemismo que inclui a China — não receberão mais os cobiçados códigos de "prova de conceito" (PoC) dos exploits.
Em vez do mapa do tesouro detalhado, que ensina passo a passo como explorar uma falha, essas empresas agora receberão apenas uma "descrição mais genérica por escrito". E o mais importante: essa informação só chegará no mesmo momento em que os patches de correção forem liberados para o público geral, no famoso Patch Tuesday. Na prática, a comunicação antecipada e a colaboração técnica foram substituídas por um comunicado padrão. A ponte de confiança ruiu.
O Estopim: Quando o SharePoint Virou Terra de Ninguém
A decisão da Microsoft não veio do nada. Ela é uma consequência direta do caos instalado em julho, quando grupos baseados na China — incluindo agentes governamentais, ladrões de dados e até gangues de ransomware — lançaram uma ofensiva em massa. Eles exploraram duas vulnerabilidades para sequestrar servidores SharePoint on-premises, afetando mais de 400 organizações e permitindo a execução remota de código.
O que torna esse episódio particularmente embaraçoso é a cronologia dos fatos. A Microsoft divulgou as falhas no dia 8 de julho, durante o Patch Tuesday. No entanto, o patch inicial era... digamos, furado. A própria empresa admitiu, semanas depois, que a correção não resolvia completamente o problema. Patches funcionais só foram liberados em 21 de julho, mas a essa altura o estrago já estava feito e a exploração corria solta.
Essa sequência levantou uma suspeita óbvia no mercado, como apontou na época Dustin Childs, chefe de conscientização de ameaças da Zero Day Initiative (ZDI) da Trend Micro. "Um vazamento aconteceu em algum lugar aqui", disse ele ao The Register. Afinal, os atacantes não só sabiam da vulnerabilidade com antecedência, como também pareciam saber exatamente como contornar a primeira tentativa de correção da Microsoft. Era como se tivessem acesso ao roteiro do filme antes da estreia.
Uma Medida Tardia, Mas Necessária?
A comunidade de segurança recebeu a notícia da mudança no MAPP com um misto de alívio e um certo "já não era sem tempo". O próprio Dustin Childs comentou a nova postura da Microsoft, classificando-a como "uma mudança positiva, ainda que um pouco tardia". Segundo ele, "qualquer coisa que a Microsoft possa fazer para ajudar a prevenir vazamentos enquanto ainda oferece orientação do MAPP é bem-vinda".
Childs também relembrou um ponto sensível: o histórico. "No passado, vazamentos do MAPP foram associados a empresas da China, então restringir o fluxo de informações para essas companhias deve ajudar", afirmou, de acordo com o The Register. A lógica é simples: o programa MAPP é um recurso valioso para os defensores de redes, mas sua eficácia depende da integridade de seus membros. Quando a confiança é quebrada, a interoperabilidade segura se torna inviável.
Ao limitar o acesso, a Microsoft não está apenas punindo os maus atores, mas tentando restaurar a integridade de seu próprio ecossistema de segurança. A decisão representa um endurecimento nas relações diplomáticas do mundo cibernético, onde o compartilhamento de informações depende de uma premissa básica que, neste caso, foi quebrada: a de que todos os parceiros estão jogando no mesmo time para proteger os usuários finais, e não para repassar a bola para o adversário.