Uma campanha de ciberespionagem complexa, que mirou versões mais antigas do software SharePoint da Microsoft, já afetou cerca de 400 organizações no mundo, conforme levantamento recente. Pesquisadores da Eye Security, uma empresa holandesa bem conhecida no setor de cibersegurança, apontam que o número real de vítimas, na verdade, pode ser bem maior que essa contagem inicial.
A brecha explorada, uma falha até então desconhecida pela gigante de tecnologia, gerou uma corrida contra o tempo pra tentar consertar o problema, evidenciando o quão vulneráveis infraestruturas digitais cruciais podem ser no cenário atual.
A Origem da Vulnerabilidade e a Correção Desafiadora da Microsoft
Essa história toda começou depois que a Microsoft não conseguiu corrigir de vez uma falha de segurança séria no SharePoint.
Pra você ter uma ideia, essa vulnerabilidade específica, que depois ficou conhecida como “dia zero” – ou seja, era desconhecida até mesmo pelo fabricante e, por isso, não tinha uma correção pronta –, tinha sido descoberta lá em maio. A descoberta rolou durante uma competição de hackers organizada pela Trend Micro, um evento que oferece recompensas em dinheiro justamente pra quem acha bugs em softwares famosos.
Acontece que a própria existência de um “dia zero” já colocava o SharePoint numa situação de alto risco, já que não havia um “antídoto” imediato.
No começo, a Microsoft até lançou um patch de segurança este mês pra tentar barrar o problema. Só que, na prática, a correção inicial não foi o suficiente, deixando as portas abertas pra mais ataques e criando uma verdadeira corrida contra o tempo entre a equipe de segurança da Microsoft e os invasores.
Daí, a empresa precisou correr contra o tempo e liberar outros patches, esses sim, que prometeram resolver a encrenca de vez. Inclusive, a Microsoft emitiu um alerta bem claro aos seus clientes, pedindo pra que instalassem as novas atualizações de segurança o quanto antes.
O centro de resposta de segurança da companhia confirmou que os ataques exploraram vulnerabilidades parcialmente corrigidas em julho, mas que agora estariam “totalmente protegidos” pra quem usa o SharePoint Subscription Edition e o SharePoint 2019.
O Alcance do Ataque e as Vítimas de Peso: De Empresas a Órgãos Governamentais
Olha, o ataque de espionagem não poupou ninguém, atingindo desde empresas privadas até órgãos de governo de alto escalão.
Um exemplo claro é que um servidor dos Institutos Nacionais de Saúde dos Estados Unidos (NIH), uma entidade de pesquisa médica importantíssima, foi comprometido, e eles, como medida de precaução, logo isolaram outros servidores pra evitar maiores danos.
O Washington Post, um jornal renomado, foi o primeiro a noticiar esse comprometimento, o que só mostra a gravidade da situação.
Além do NIH, o Departamento de Energia dos EUA e a agência que cuida do arsenal nuclear do país, a Administração Nacional de Segurança Nuclear (NNSA), também foram afetados.
Segundo o Departamento de Energia, o impacto foi “minimizado” por causa do uso generalizado da nuvem Microsoft M365 e de sistemas de cibersegurança já bem capazes, que ajudaram a conter a disseminação.
Eles afirmaram que um número muito pequeno de sistemas foi realmente afetado e que tudo estava sendo restaurado rapidamente, o que, de certa forma, demonstra uma certa resiliência diante do ataque.
Vaisha Bernard, que é líder de hack da Eye Security, explicou que a estimativa das 400 vítimas veio de uma contagem minuciosa de rastros digitais encontrados durante varreduras em servidores vulneráveis.
Mas ela mesma avisa: “Há muito mais [vítimas], porque nem todos os vetores de ataque deixaram rastros que pudéssemos detectar.“
Isso, por sua vez, mostra um desafio e tanto na detecção e mitigação de ameaças, já que os métodos de ataque estão cada vez mais sofisticados e difíceis de rastrear, tornando a verdadeira extensão de um ataque muitas vezes subestimada.
A Controvérsia da Atribuição e as Implicações Geopolíticas no Ciberespaço
No meio dessa confusão, tanto a Microsoft quanto a Alphabet (que é a empresa-mãe do Google) logo de cara jogaram a culpa em hackers chineses.
Só que Pequim, claro, negou tudo, o que é um comportamento bastante comum e, de certa forma, esperado nesse tipo de incidente de ciberespionagem internacional. Criou-se, assim, um impasse clássico sobre a autoria, dificultando uma resposta unificada.
Enquanto isso, o pessoal da Sophos, outra empresa de cibersegurança reconhecida, defende que a campanha, pela consistência das técnicas usadas e a forma como os ataques foram executados, parece ser obra de “um único ator“, sem deixar claro, no entanto, quem é esse ator misterioso.
A dificuldade em atribuir um ataque cibernético a um grupo ou país específico é um dos maiores dilemas da cibersegurança hoje, pois os atacantes utilizam diversas técnicas para mascarar sua identidade e origem.
Essa situação, sem contar, destaca a vulnerabilidade de infraestruturas digitais importantes e a pressão pra que as defesas cibernéticas fiquem cada vez mais fortes.
É que riscos geopolíticos têm um impacto direto na cibersegurança do setor, com ataques de ransomware, por exemplo, muitas vezes vindo de países como Rússia, China, Coreia do Norte e Irã, muitas vezes com uma espécie de “permissão tácita” dos governos de lá.
Isso transforma o ciberespaço num campo de batalha onde a defesa não é suficiente; a cooperação internacional e, em alguns casos, até mesmo ações ofensivas, acabam sendo essenciais pra desarticular esses grupos antes que causem mais danos.
O Perigo das Ameaças a Terceiros e as Lições Aprendidas para a Cibersegurança Coletiva
Esse ataque ao SharePoint, no fundo, mostra um padrão preocupante que vai muito além de uma falha isolada: o aumento das invasões que miram terceiros, ou seja, empresas que prestam serviços críticos e acabam sendo elos fracos na cadeia de segurança digital.
Pensa bem, em 2023, o número de pessoas afetadas por ataques a parceiros de negócios na saúde, por exemplo, subiu impressionantes 287% em comparação com 2022.
Casos assim deixam claro que um ataque desses não é só roubo de dados ou crime financeiro; ele vira um risco real à vida.
São ataques feitos pra parar sistemas importantes e causar o máximo de atraso e interrupção no atendimento ao paciente.
Isso é o que chamamos de “raio de explosão“, onde os efeitos se espalham por toda a comunidade, atingindo hospitais, clínicas e prontos-socorros na região, como visto no impacto do ataque à Change Healthcare, que paralisou pagamentos e serviços vitais em todo o sistema de saúde dos EUA, mesmo sem ser um ataque direto ao hospital.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (Cisa), por exemplo, informou que ficou ciente do ataque e das suas implicações, já que os hackers conseguiram acessar integralmente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas.
E a Palo Alto Networks, outra empresa de cibersegurança global, deixou o alerta bem forte: “Essas explorações são reais, estão em atividade no mundo real e representam uma séria ameaça. Estamos observando a exploração global ativa de vulnerabilidades críticas do Microsoft SharePoint.“
Essa fala só reforça a urgência da situação e a necessidade de ação imediata.
Por isso, a Microsoft tem intensificado os esforços pra corrigir as vulnerabilidades e melhorar a segurança dos seus sistemas, e tem coordenado a resposta com a Cisa, o Comando de Defesa Cibernética do Departamento de Defesa e parceiros-chave de cibersegurança globalmente.
Essa colaboração é fundamental, porque um ataque a um software tão difundido como o SharePoint não é um problema isolado de uma única empresa, mas sim um desafio que exige uma resposta coordenada em nível global.
Fortalecendo as Defesas: Medidas Futuras e a Importância da Resiliência Cibernética
Diante desse cenário, organizações que foram afetadas ou que estão em risco precisam revisar suas medidas de segurança e instalar as últimas atualizações que a Microsoft libera pra evitar problemas parecidos.
Mas não é só isso.
A fragilidade das infraestruturas digitais críticas levou a governos e setores a agirem.
O Departamento de Saúde e Serviços Humanos (HHS) dos EUA, junto com o Setor de Saúde Pública (HPH), por exemplo, já criou um conjunto de Metas Voluntárias de Desempenho de Cibersegurança (CPGs).
A ideia é incentivar a implementação de práticas de segurança de alto impacto que ajudem as empresas a se prepararem e mitigarem as ameaças cibernéticas.
Essas metas são pensadas pra defender contra as táticas mais comuns dos criminosos, como exploração de vulnerabilidades conhecidas, e-mails de phishing (os famosos golpes de e-mail) e credenciais roubadas.
A American Hospital Association (AHA) ajudou a elaborar essas CPGs e defende, com razão, que elas se apliquem também aos provedores de tecnologia e parceiros de negócios terceirizados.
Inclusive, o HHS já indicou que está trabalhando em políticas específicas de supervisão pra esses fornecedores terceirizados, reconhecendo que a segurança de uma rede é tão forte quanto seu elo mais fraco.
No geral, esse caso do SharePoint reforça a ideia de que precisamos de uma cibersegurança mais resistente, num cenário onde as ameaças são cada vez mais complexas e sofisticadas.
As empresas e instituições têm que ficar de olho e ser proativas nas suas estratégias de segurança pra garantir a proteção dos seus dados e sistemas críticos.
Além disso, a cooperação internacional e a troca de informações entre entidades de segurança acabam sendo cruciais pra enfrentar ataques desse tamanho e proteger a integridade dos sistemas digitais no mundo todo, transformando o desafio em uma oportunidade de fortalecer as defesas coletivas.
Perguntas Frequentes (FAQ) sobre o Ataque ao SharePoint da Microsoft
O que foi o ataque hacker ao Microsoft SharePoint?
Foi uma operação de ciberespionagem de larga escala que explorou uma falha de segurança “dia zero” (desconhecida pelo fabricante e sem correção inicial) no software de servidor SharePoint da Microsoft. Os criminosos conseguiram acessar integralmente conteúdos internos, arquivos e configurações de diversas organizações.
Quantas organizações foram afetadas por essa brecha no SharePoint?
Estimativas da Eye Security indicam que cerca de 400 organizações foram atingidas. Contudo, os pesquisadores alertam que o número real de vítimas é, provavelmente, muito maior, visto que nem todos os vetores de ataque deixam rastros digitais que possam ser detectados.
Quais tipos de organizações foram impactadas pelo ataque?
O ataque afetou tanto empresas privadas quanto importantes órgãos governamentais dos EUA, como os Institutos Nacionais de Saúde (NIH), o Departamento de Energia e a Administração Nacional de Segurança Nuclear (NNSA).
Quem está sendo apontado como responsável por esse ataque?
A Microsoft e a Alphabet (Google) acusam hackers chineses de explorar a falha, mas a China nega veementemente essas alegações. Alguns especialistas, como os da Sophos, sugerem que a campanha pode ser obra de “um único ator” devido à consistência das técnicas utilizadas, o que dificulta uma atribuição definitiva.
A Microsoft conseguiu corrigir a falha de segurança no SharePoint?
Sim. Após um patch inicial que se mostrou insuficiente, a Microsoft liberou novas atualizações de segurança. Segundo a empresa, essas novas correções protegem completamente os clientes que utilizam o SharePoint Subscription Edition e o SharePoint 2019.
O que significa “vulnerabilidade dia zero“?
Uma vulnerabilidade “dia zero” é uma falha de segurança em um software que é desconhecida tanto pelo desenvolvedor quanto pelos usuários. Essa condição a torna extremamente perigosa, pois não há um patch ou correção disponível no momento em que a vulnerabilidade é descoberta e começa a ser explorada pelos atacantes.
Como as organizações podem se proteger de ataques semelhantes?
É fundamental que as organizações implementem uma estratégia robusta de cibersegurança. Isso inclui revisar constantemente suas medidas de segurança, aplicar todas as atualizações e patches de segurança liberados pelos fornecedores (como a Microsoft), e adotar uma postura proativa, considerando inclusive os riscos associados a ataques que miram provedores de serviços terceirizados, que podem ser um elo fraco na segurança.
Qual a relação entre o ataque ao SharePoint e os riscos para terceiros?
O ataque ao SharePoint exemplifica claramente o perigo das ameaças a terceiros. Como o SharePoint é uma ferramenta amplamente usada por diversas empresas, sua vulnerabilidade expõe todas as organizações que dependem dele para suas operações. Isso destaca a necessidade crítica de as empresas considerarem a segurança de seus fornecedores e parceiros de tecnologia como parte integral de sua própria estratégia de defesa cibernética, mitigando o “raio de explosão” de um ataque.