Bloomberg — Hackers exploraram uma falha de segurança em um software da Microsoft (MSFT) para violar sistemas de governos, empresas e outras organizações em todo o mundo e roubar informações confidenciais, de acordo com autoridades e pesquisadores de segurança cibernética.
No fim de semana, a Microsoft lançou uma correção para a vulnerabilidade nos servidores do software de gerenciamento de documentos SharePoint.
A empresa disse que ainda trabalhava para implantar outras correções, depois de alertas de que os hackers tinham como alvo os clientes do SharePoint, usando a falha para entrar nos sistemas de arquivos e executar códigos.
Os hackers, que até a publicação não tinham sido identificados, usaram a falha para invadir os sistemas de governos nacionais na Europa e no Oriente Médio, e para violar agências governamentais em estados americanos, incluindo a Flórida, de acordo com uma pessoa familiarizada com o assunto que falou com a Bloomberg News. A pessoa falou sob a condição de não ser identificada ao discutir as informações confidenciais.
Os representantes da Flórida não responderam imediatamente a um pedido de comentário.
Leia mais: Xbox mais caro: Microsoft sobe preços de jogos e cita custos de desenvolvimento
Os hackers também violaram os sistemas de um provedor de serviços de saúde com sede nos EUA e visaram uma universidade pública no sudeste da Ásia, de acordo com um relatório de uma empresa de segurança cibernética analisado pela Bloomberg News.
O relatório não identifica nenhuma das entidades pelo nome, mas diz que os hackers tentaram violar os servidores do SharePoint em países como Brasil, Canadá, Indonésia, Espanha, África do Sul, Suíça, Reino Unido e Estados Unidos. A empresa pediu para não ser identificada devido à sensibilidade das informações.
Em alguns sistemas invadidos, os hackers roubaram credenciais de login, incluindo nomes de usuário, senhas, códigos hash e tokens, de acordo com uma pessoa familiarizada com o assunto, que também falou sob a condição de não ser identificada ao discutir as informações confidenciais.
“Essa é uma ameaça de alta gravidade e alta urgência”, disse Michael Sikorski, diretor de tecnologia e chefe de inteligência de ameaças da Unidade 42 da Palo Alto Networks.
“O que preocupa mais é a profunda integração do SharePoint com a plataforma da Microsoft, incluindo seus serviços como Office, Teams, OneDrive e Outlook, que contêm todas as informações valiosas para um invasor”, disse ele. “Um comprometimento não fica contido – ele abre a porta para toda a rede.”
Dezenas de milhares – se não centenas de milhares – de empresas e instituições em todo o mundo usam o SharePoint de alguma forma para armazenar e colaborar em documentos.
A Microsoft disse que os hackers visaram especificamente os clientes que executam servidores do SharePoint em suas próprias redes locais, em vez de serem hospedados e gerenciados pela empresa de tecnologia. Isso poderia limitar o impacto a um grupo de clientes.
“É um sonho para os operadores de ransomware”, disse Silas Cutler, pesquisador da empresa de cibersegurança Censys, do estado de Michigan. Ele estimou que mais de 10.000 empresas com servidores SharePoint estavam em risco. Os Estados Unidos tinham o maior número dessas empresas, seguidos pela Holanda, Reino Unido e Canadá, disse ele.
As violações atraíram um novo exame minucioso dos esforços da Microsoft para reforçar sua segurança cibernética após uma série de falhas de alto nível.
A empresa contratou executivos de lugares como o governo dos EUA e realiza reuniões semanais com executivos seniores para tornar seu software mais resistente.
A tecnologia da empresa foi alvo de vários ataques generalizados e prejudiciais nos últimos anos, e um relatório do governo dos EUA de 2024 descreveu a cultura de segurança da empresa como necessitando de reformas urgentes.
A Palo Alto Networks alertou que as explorações do SharePoint são “reais e representam uma séria ameaça”.
O Google Threat Intelligence Group disse em um comunicado enviado por e-mail que observou hackers explorando a vulnerabilidade, acrescentando que ela permite “acesso persistente e não autenticado e apresenta um risco significativo para as organizações afetadas”.
O Center for Internet Security, que opera um sistema de compartilhamento de informações de segurança cibernética para governos estaduais e locais nos EUA, encontrou mais de 1.100 servidores em risco devido à vulnerabilidade do SharePoint, disse Randy Rose, vice-presidente de operações e inteligência de segurança da organização. Rose disse que mais de 100 provavelmente foram hackeados.
Leia mais: Premier League e Microsoft firmam acordo para nuvem e IA com foco no torcedor
“Quando eles conseguem comprometer a fortaleza que é o SharePoint, todos ficam à mercê de seus caprichos, porque esse é um dos mais altos protocolos de segurança existentes”, disse Gene Yu, CEO da Blackpanda, empresa de resposta a incidentes cibernéticos sediada em Cingapura.
O Washington Post informou que a violação havia afetado agências federais e estaduais dos EUA, universidades, empresas de energia e uma empresa de telecomunicações asiática, citando autoridades estaduais e pesquisadores privados.
A Eye Security foi a primeira a identificar que os atacantes estavam explorando ativamente as vulnerabilidades em uma onda de ciberataques que começou na sexta-feira (18), disse Vaisha Bernard, hacker-chefe e coproprietário da empresa.
A Eye Security disse que a vulnerabilidade permite que os hackers acessem os servidores do SharePoint e roubem chaves que podem permitir que eles se façam passar por usuários ou serviços, mesmo depois que o servidor for corrigido.
Segundo a empresa, os hackers podem manter o acesso por meio de backdoors ou componentes modificados que podem sobreviver a atualizações e reinicializações de sistemas.
As vulnerabilidades do SharePoint, conhecidas como “ToolShell”, foram identificadas pela primeira vez em maio por pesquisadores em uma conferência de segurança cibernética em Berlim. No início de julho, a Microsoft lançou patches para corrigir as falhas de segurança, mas os hackers encontraram outra maneira de entrar.
“Havia maneiras de contornar as correções”, o que permitia que os hackers invadissem os servidores do SharePoint explorando vulnerabilidades semelhantes, disse Bernard. “Isso permitiu que esses ataques acontecessem.”
As invasões, segundo ele, não eram direcionadas e, em vez disso, tinham como objetivo comprometer o maior número possível de vítimas. Depois de analisar cerca de 8.000 servidores SharePoint, Bernard disse que até agora identificou pelo menos 50 que foram comprometidos com sucesso.
Ele se recusou a identificar a identidade das organizações que foram alvo, mas disse que elas incluíam agências governamentais e empresas privadas, inclusive “multinacionais maiores”. As vítimas estavam localizadas em países da América do Norte e do Sul, na União Europeia, na África do Sul e na Austrália, acrescentou.
Um porta-voz da Microsoft não quis comentar além de uma declaração anterior.
A Microsoft enfrentou uma série de ataques cibernéticos recentes, alertando, em março, que hackers chineses estavam atacando ferramentas de gerenciamento remoto e aplicativos em nuvem para espionar uma série de empresas e organizações nos EUA e no exterior.
O Cyber Safety Review Board, um grupo designado pela Casa Branca para examinar os principais ataques cibernéticos, disse no ano passado que a cultura de segurança da Microsoft era “inadequada” após o hack de 2023 das caixas de correio do Exchange Online da empresa.
Nesse incidente, os hackers conseguiram violar 22 organizações e centenas de indivíduos, incluindo a ex-secretária de Comércio dos EUA, Gina Raimondo.
--Com a colaboração de Ryan Gallagher, Lynn Doan, Cameron Fozi, Daniel Cancel e Aashna Shah.
Veja mais em Bloomberg.com
Leia também
De mercearias a advogados: Itaú quer alavancar expansão com novo app para PMEs
Redução do IPI de ‘carro popular’ é alívio para indústria e novo revés a locadoras
Não é passageiro: alta de preços de alimentos será cada vez mais comum, diz estudo
