Atacantes desconhecidos exploraram uma “vulnerabilidade significativa” no software de colaboração SharePoint da Microsoft, atingindo alvos no mundo todo
Hackers exploraram uma grande falha de segurança no software de servidor amplamente utilizado da Microsoft para lançar um ataque global contra agências governamentais e empresas nos últimos dias, violando agências federais e estaduais dos EUA, universidades, empresas de energia e uma empresa de telecomunicações asiática, de acordo com autoridades estaduais e pesquisadores privados.
O governo dos EUA e parceiros no Canadá e na Austrália estão investigando o comprometimento dos servidores do SharePoint, que fornecem uma plataforma para compartilhamento e gerenciamento de documentos. Dezenas de milhares desses servidores estão em risco, disseram especialistas, e a Microsoft não lançou nenhuma correção para a falha, deixando vítimas em todo o mundo lutando para responder.
O ataque de “dia zero”, assim chamado por ter como alvo uma vulnerabilidade até então desconhecida, é apenas o mais recente constrangimento em segurança cibernética para a Microsoft. No ano passado, a empresa foi criticada por um painel de especialistas do governo e da indústria dos EUA por falhas que permitiram um ataque chinês direcionado a e-mails do governo americano em 2023 , incluindo os da então Secretária de Comércio, Gina Raimondo.
Este ataque mais recente compromete apenas os servidores hospedados dentro de uma organização — não aqueles na nuvem, como o Microsoft 365, disseram autoridades. Após sugerir inicialmente que os usuários fizessem modificações ou simplesmente desconectassem os programas do servidor SharePoint da internet, a empresa lançou na noite de domingo um patch para uma versão do software. Duas outras versões permanecem vulneráveis e a Microsoft afirmou que continua trabalhando para desenvolver um patch. A empresa não quis comentar mais.
“Qualquer pessoa que tenha um servidor SharePoint hospedado tem um problema”, disse Adam Meyers, vice-presidente sênior da CrowdStrike, uma empresa de segurança cibernética. “É uma vulnerabilidade significativa.”
O FBI afirmou em um comunicado que estava ciente do assunto. “Estamos trabalhando em estreita colaboração com nosso governo federal e parceiros do setor privado”, afirmou.
“Estamos presenciando tentativas de explorar milhares de servidores SharePoint no mundo todo antes que um patch esteja disponível”, disse Pete Renals, gerente sênior da Unidade 42 da Palo Alto Networks. “Identificamos dezenas de organizações comprometidas, abrangendo setores comerciais e governamentais.”
Com acesso a esses servidores, que frequentemente se conectam ao e-mail do Outlook, Teams e outros serviços essenciais, uma violação pode levar ao roubo de dados confidenciais, bem como à coleta de senhas, observou a empresa de pesquisa Eye Security, sediada na Holanda. O que também é alarmante, disseram os pesquisadores, é que os hackers obtiveram acesso a chaves que podem permitir que eles recuperem o acesso mesmo após a correção do sistema.
“Portanto, lançar um patch na segunda ou terça-feira não ajuda ninguém que tenha sido comprometido nas últimas 72 horas”, disse um pesquisador, que falou sob condição de anonimato porque uma investigação federal está em andamento.
Não ficou imediatamente claro quem está por trás do ataque de alcance global ou qual é o seu objetivo final. Uma empresa privada de pesquisa descobriu que os hackers tinham como alvo servidores na China, bem como uma legislatura estadual no leste dos Estados Unidos. A Eye Security afirmou ter rastreado mais de 50 violações, incluindo em uma empresa de energia em um grande estado e em várias agências governamentais europeias.
Pelo menos duas agências federais dos EUA tiveram seus servidores violados, de acordo com pesquisadores, que disseram que os acordos de confidencialidade das vítimas os impedem de nomear os alvos.
Uma autoridade estadual no leste dos EUA afirmou que os invasores “sequestraram” um repositório de documentos fornecidos ao público para ajudar os moradores a entender como o governo funciona. A agência envolvida não consegue mais acessar o material, mas não ficou claro se ele foi excluído.
“Precisaremos disponibilizar esses documentos novamente em um repositório diferente”, disse a autoridade, falando sob condição de anonimato para discutir uma situação em desenvolvimento.
Esses ataques de “limpeza” são raros, e este deixou autoridades alarmadas em outros estados à medida que a notícia se espalhava. Algumas empresas de segurança afirmaram não ter observado exclusões nos ataques ao SharePoint, apenas o roubo de chaves criptográficas que permitiriam aos hackers reingressar nos servidores.
No Arizona, autoridades de segurança cibernética estavam se reunindo com autoridades estaduais, locais e tribais para avaliar possíveis vulnerabilidades e compartilhar informações.
“Definitivamente há uma correria louca acontecendo em todo o país agora”, disse uma pessoa familiarizada com a resposta do estado.
As violações ocorreram depois que a Microsoft corrigiu uma falha de segurança neste mês. Os invasores perceberam que poderiam usar uma vulnerabilidade semelhante, de acordo com a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna.
A porta-voz da CISA, Marci McCarthy, disse que a agência foi alertada sobre o problema na sexta-feira por uma empresa de pesquisa cibernética e contatou imediatamente a Microsoft.
A Microsoft já foi criticada no passado por lançar correções com um design muito restrito, que deixam caminhos semelhantes abertos a ataques. A empresa, uma das maiores fornecedoras de tecnologia para governos, teve outros tropeços graves nos últimos dois anos, incluindo violações de suas próprias redes corporativas e e-mails de executivos. Uma falha de programação em seus serviços de nuvem também permitiu que hackers apoiados pela China roubassem e-mails de autoridades federais.
Na sexta-feira, a Microsoft disse que deixaria de usar engenheiros baseados na China para dar suporte aos programas de computação em nuvem do Departamento de Defesa depois que uma reportagem do veículo investigativo ProPublica revelou a prática, levando o Secretário de Defesa Pete Hegseth a ordenar uma revisão dos acordos de nuvem do Pentágono.
A organização sem fins lucrativos Center for Internet Security, que administra um grupo de compartilhamento de informações para governos estaduais e locais, notificou cerca de 100 organizações de que estavam vulneráveis e potencialmente comprometidas, disse Randy Rose, vice-presidente da organização. Entre os alertados estavam escolas públicas e universidades.
O processo levou seis horas na noite de sábado — muito mais do que levaria de outra forma, porque as equipes de inteligência contra ameaças e resposta a incidentes foram reduzidas em 65%, já que a CISA cortou o financiamento, disse Rose.
Apesar de a CISA ser liderada por um diretor interino, já que o indicado Sean Plankey não foi confirmado, funcionários da agência têm “trabalhado 24 horas por dia” na questão, disse McCarthy. “Ninguém dormiu ao volante.”
Outros que foram violados incluem uma agência governamental na Espanha, uma agência local em Albuquerque e uma universidade no Brasil, disseram pesquisadores de segurança.
Da Redação do Mais55/Com informações da The Washington Post
