Hackers lançaram um ciberataque em larga escala explorando uma falha crítica no software SharePoint Server da Microsoft, amplamente utilizado.
Segundo autoridades estaduais, a violação comprometeu agências governamentais federais e estaduais dos EUA, universidades, empresas de energia e até mesmo a infraestrutura de telecomunicações na Ásia.
A vulnerabilidade reside nos servidores SharePoint locais — sistemas usados internamente para armazenar e compartilhar documentos — e não nos serviços em nuvem da Microsoft, como o Microsoft 365 , o que os torna alvos principais para invasores.
A falha está sendo chamada de vulnerabilidade "zero-day", uma nova vulnerabilidade de software para a qual a Microsoft ainda não lançou uma correção. As organizações não tiveram tempo para se preparar e expuseram milhares de instituições a ataques.
Segundo pesquisadores de segurança, os hackers invadiram sistemas em mais de 50 organizações, incluindo diversas agências governamentais europeias, uma empresa de energia em um grande estado dos EUA e uma universidade no Brasil.
Em um estado do leste dos Estados Unidos, invasores assumiram o controle de um conjunto de documentos destinados à divulgação pública e os mantiveram em um limbo, impedindo que a agência os recuperasse e removesse.
A Microsoft não lançou uma atualização em meio à crescente vulnerabilidade
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e as autoridades de segurança cibernética do Canadá e da Austrália estão investigando ativamente a violação. A Microsoft ainda não lançou uma correção para a vulnerabilidade do servidor SharePoint, obrigando as organizações afetadas a recorrerem a soluções temporárias — como ajustar as configurações do servidor ou desligar os sistemas — para mitigar o risco.
A Microsoft confirmou a violação e publicou um alerta, mas não fez nenhum pronunciamento público. A empresa recomendou que os usuários apliquem configurações de segurança e removam os servidores expostos da internet para mitigar o risco.
O Centro para Segurança na Internet, que trabalha com governos locais nos EUA, afirmou ter enviado alertas para cerca de 100 organizações possivelmente afetadas, incluindo escolas públicas e universidades. A resposta também foi prejudicada por cortes recentes no financiamento, que reduziram em pelo menos 60% o número de funcionários dedicados à inteligência de ameaças e às operações de resposta.
Randy Rose, vice-dent do Centro para Segurança na Internet, disse que foram necessárias seis horas na noite de sábado para concluir as notificações. Ele acrescentou que o processo teria sido muito mais rápido se suas equipes não tivessem sido reduzidas.
A CISA, atualmente liderada por seu diretor indicado em caráter interino enquanto aguarda a confirmação, tem afirmado que sua equipe tem trabalhado incansavelmente. Marci McCarthy, porta-voz da agência, disse que ninguém estava negligenciando suas funções.
Falhas de segurança aumentam o escrutínio sobre a Microsoft
Odent mais recente aumenta a preocupação com a capacidade da Microsoft de proteger seu software, visto que a empresa continua sendo uma das principais fornecedoras de tecnologia para governos em muitas partes do mundo.
O Departamento de Segurança Interna afirmou que os atacantes podem ter se aproveitado de uma vulnerabilidade do SharePoint que já havia sido corrigida. Isso reforça a estratégia recorrente da Microsoft de fornecer correções específicas que não resolvem problemas relacionados ainda não explorados.
Profissionais de segurança da informação estão preocupados com as implicações a longo prazo da violação. Uma vez dentro dos servidores internos do SharePoint, os invasores têm acesso aos sistemas sensíveis dos quais você depende no ambiente de trabalho, como Outlook, Teams e outros. Segundo informações, alguns hackers roubaram chaves criptográficas que podem ser usadas para reingressar nos servidores, mesmo após a instalação de patches.
Um pesquisador envolvido na resposta, que pediu anonimato devido à investigação federal em andamento, alertou que lançar uma atualização na segunda ou terça-feira não ajudaria ninguém que já tivesse sido comprometido nas últimas 72 horas.
No ano passado, um painel designado pelo governo dos EUA criticou a Microsoft pela forma como lidou com um ciberataque chinês direcionado a sistemas de e-mail federais, incluindo mensagens geradas pela então Secretária de Comércio, Gina Raimondo. Nesse caso, a empresa afirmou que sua plataforma em nuvem foi explorada para acessar comunicações confidenciais ilegalmente.
A empresa enfrentou novas críticas na semana passada, após a ProPublica noticiar que a Microsoft havia contratado engenheiros na China para trabalhar em projetos de nuvem ligados às forças armadas dos EUA. Na sexta-feira, a Microsoft anunciou que não empregaria mais engenheiros em sistemas relacionados ao Pentágono na China.
