Falha crítica no Microsoft SharePoint expõe órgãos públicos e empresas a ofensiva hacker
Uma vulnerabilidade grave e até então desconhecida no Microsoft SharePoint, identificada no fim de semana pela Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA), vem sendo explorada em ataques direcionados sobretudo a órgãos governamentais. A falha, classificada como zero-day, afeta exclusivamente instalações locais do SharePoint, sistema amplamente usado para gerir dados em administrações públicas e corporações.
Pesquisadores da empresa de segurança Censys apuraram que as primeiras incursões miraram um grupo restrito de alvos — incluindo agências federais e estaduais, universidades e companhias do setor de energia — em operação considerada altamente seletiva. O perfil das vítimas sugere a atuação de APTs, sigla para ameaças persistentes avançadas, frequentemente associadas a interesses estatais.
Levantamento da Eye Security, responsável pela descoberta original do problema, indica que aproximadamente 100 organizações já tiveram servidores comprometidos. A Shadowserver Foundation, entidade sem fins lucrativos que monitora atividade maliciosa na internet, corroborou esse número, mas nenhuma das instituições envolvidas foi identificada publicamente.
A maior concentração de incidentes ocorre nos Estados Unidos e na Alemanha, embora o Reino Unido também figure entre os países afetados. Pesquisadores relatam a presença de servidores vulneráveis em várias regiões, apontando para um possível espalhamento do ataque além do conjunto inicial de alvos governamentais.
Em resposta aos relatos, a Microsoft disponibilizou atualizações de segurança específicas e orientou os administradores a aplicarem imediatamente o patch correspondente. A empresa destacou que a falha não atinge a versão em nuvem do SharePoint, limitando-se a servidores instalados dentro das próprias organizações.
Quanto à autoria, ainda não há confirmação. Fontes citadas pela agência Reuters afirmam que, ao menos em parte, a campanha pode ter origem na China, hipótese sustentada por análises internas do Google. Autoridades chinesas negam de forma recorrente envolvimento em operações de hacking, e até o momento não emitiram novo posicionamento sobre o caso.
A Censys alerta que aproximadamente 10 mil servidores SharePoint continuam expostos à internet sem correção, cenário que amplia o risco de comprometimento em ampla escala. Dados obtidos no buscador Shodan demonstram que os sistemas vulneráveis pertencem a órgãos públicos, bancos, hospitais e empresas de diversos setores, elevando a preocupação com possíveis impactos sobre serviços essenciais.
Pesquisadores especializados em resposta a incidentes ressaltam que a janela entre a divulgação da falha e a aplicação do patch representa período crítico. Existindo código de exploração disponível em fóruns clandestinos, outros grupos criminosos podem replicar rapidamente as técnicas utilizadas pelos invasores originais e ampliar o alcance dos ataques.
Organizações que utilizam servidores locais do SharePoint são aconselhadas a supor que já ocorreu algum nível de invasão, mesmo na ausência de sinais visíveis. Recomenda-se isolar sistemas afetados, revisar logs, implementar medidas de contenção e conduzir análise forense detalhada para identificar movimentações laterais ou instalação de backdoors.
Especialistas destacam ainda a importância de políticas de segmentação de rede, autenticação multifator e revisão contínua de privilégios de acesso, de forma a reduzir a superfície de ataque caso novos vetores sejam descobertos. Em paralelo, monitoramento ativo de indicadores de comprometimento compartilhados por órgãos de segurança pode acelerar a detecção de tentativas subsequentes.
Enquanto prosseguem as investigações sobre os responsáveis e os objetivos estratégicos da campanha, autoridades e empresas reforçam o apelo para que as correções disponibilizadas pela Microsoft sejam implantadas sem atraso. A correção tempestiva, aliada a processos de segurança robustos, é apontada como a principal barreira para conter a expansão dos ataques e proteger infraestruturas críticas.
Fonte: Reuters, CISA, Censys, Eye Security, Shadowserver Foundation, Microsoft
