Hack ao Microsoft SharePoint atinge EUA, governos estaduais, empresas e organizações no mundo todo

 (washingtonpost.com)
6 pontos por GN⁺ 2025-07-22 | 1 comentários | Compartilhar no WhatsApp
  • Uma vulnerabilidade crítica nos servidores Microsoft SharePoint foi explorada, levando a ataques contra órgãos federais e estaduais dos EUA, universidades, empresas de energia e operadoras de telecomunicações na Ásia, entre outras instituições e empresas no mundo todo
  • O ataque mirou uma vulnerabilidade de 'zero-day' sem patch disponível, deixando dezenas de milhares de servidores SharePoint expostos ao risco. A Microsoft disponibilizou patch apenas para algumas versões, enquanto outras continuam vulneráveis
  • Os invasores causaram danos graves, incluindo roubo de dados sensíveis, coleta de senhas e obtenção de chaves para reinvasão. Em alguns casos, até repositórios de documentos públicos de governos foram “sequestrados”, bloqueando o acesso
  • O alcance dos danos não se limita aos EUA, mas se estende por Europa, Ásia, América do Sul e outros países. Órgãos como FBI e CISA, entre outros, iniciaram resposta emergencial e compartilhamento de informações
  • A Microsoft vem sendo criticada por incidentes de segurança recorrentes nos últimos anos, e este caso volta a destacar atrasos em patches, fragilidade da estrutura de segurança e possibilidade de reinvasão pelos atacantes

Hack aos servidores Microsoft SharePoint

  • Um invasor ainda não identificado usou uma vulnerabilidade de segurança não divulgada do SharePoint, software de colaboração da Microsoft, para atacar instituições e empresas no mundo todo, incluindo órgãos federais e estaduais dos EUA, universidades, empresas de energia e operadoras de telecomunicações na Ásia
  • O ataque teve como alvo uma vulnerabilidade de dia zero (0-day), causando diversos impactos, como vazamento e roubo de dados dos servidores, além da obtenção de chaves de criptografia

Vulnerabilidade e status dos patches

  • Segundo especialistas, dezenas de milhares de servidores SharePoint estão em risco. Os alvos se limitam a servidores on-premises; ambientes em nuvem (como Microsoft 365) não foram afetados
  • A Microsoft divulgou no domingo um patch para uma das versões, mas duas versões ainda seguem sem correção. As organizações afetadas estão adotando resposta própria e medidas temporárias
  • Mesmo após a aplicação do patch, os invasores podem voltar a entrar por meio das chaves já obtidas, o que reforça que apenas corrigir rapidamente não basta para restaurar totalmente a segurança

Alcance do ataque e dos danos

  • CrowdStrike, Palo Alto Networks, Eye Security e outras empresas de segurança confirmaram que dezenas de instituições e empresas foram comprometidas
  • Entre as vítimas há órgãos federais e estaduais dos EUA, órgãos governamentais europeus, universidades, empresas de energia e operadoras de telecomunicações na Ásia
  • Em um governo estadual, um repositório oficial de documentos para orientação à população foi hackeado e ficou inacessível; em alguns casos, também surgiram preocupações com ataques do tipo wiper, que apagam totalmente os dados

Resposta do setor de segurança e do governo

  • Órgãos do governo dos EUA, como FBI e CISA, estão conduzindo investigação imediata e resposta conjunta
  • A CISA informou que, assim que recebeu alertas de empresas privadas de segurança da informação, passou a cooperar com a Microsoft e a pressionar pelo desenvolvimento de patches
  • O Center for Internet Security e outras organizações enviaram alertas emergenciais de vulnerabilidade para cerca de 100 instituições, enquanto dificuldades na resposta aumentam devido a cortes de orçamento que reduziram fortemente equipes de compartilhamento de informação e resposta a incidentes

Microsoft e as controvérsias recorrentes de segurança

  • Nos últimos dois anos, a Microsoft enfrentou queda de confiança de órgãos públicos e clientes governamentais após uma sequência de incidentes, como o hack de e-mails governamentais atribuído à China em 2023, invasões à própria rede da empresa e falhas de programação em nuvem
  • Este ataque volta a expor limitações estruturais, como atrasos em patches, falta de reflexão de semelhanças entre vulnerabilidades e gestão de segurança repetidamente falha
  • Somando-se à controvérsia sobre o uso de engenheiros baseados na China em pessoal de apoio a projetos de nuvem do Departamento de Defesa dos EUA, cresce a preocupação com a dependência do setor público em relação à Microsoft

Conclusão e perspectivas

  • O incidente mostra que uma única vulnerabilidade em uma solução de colaboração de grande escala pode gerar efeitos graves em inúmeras instituições e empresas no mundo todo
  • Como os invasores podem manter acesso por longo prazo mesmo após o patch, usando chaves de criptografia já obtidas, é necessário um reforço de segurança mais profundo do que a simples correção
  • Cortes de pessoal e orçamento de segurança, além da ausência de governança de TI, são apontados como fragilidades estruturais da resposta do setor público a ameaças cibernéticas

Leituras relacionadas

1 comentários

 
GN⁺ 2025-07-22
Opiniões no Hacker News

  • A CISA recomendou que organizações com vulnerabilidades de segurança isolem esse produto da internet até que um patch oficial seja lançado, mas acho curioso que ainda existam organizações hospedando o SharePoint on-premises e o expondo à internet; eu imaginava que a maioria desses lugares obrigaria o uso de VPN

    • É lamentável ver a CISA ter perdido, em comparação com o passado, profissionais realmente práticos e se tornado um grupo que valoriza apenas conformidade política; compartilha-se o caso recente em que o Arizona foi atacado por hackers iranianos, mas não pediu ajuda link da matéria; organizações como a CISA, que investigam ataques em grande escala, são realmente importantes, e há preocupação com o fato de agora estarem sujeitas a critérios políticos link da Techdirt

    • A melhor prática é assumir que a rede já foi comprometida; VPN também não dá garantia perfeita de segurança; quanto maior a organização, mais fácil perder dispositivos ou ter dificuldade para gerenciá-los, então uma abordagem de “zero trust” e a possibilidade de acesso de qualquer lugar são essenciais; as organizações querem flexibilidade operacional sem perder o controle dos dados

    • O SharePoint chegou a ser fortemente promovido originalmente também para operar sites públicos; antes da migração para a nuvem, vendedores da Microsoft iam aos escritórios dizendo que o WordPress desapareceria por causa do SharePoint mais recente; por essa inércia, ainda há muitas organizações presas ao modelo antigo

    • Não é raro operar serviços internos como SharePoint e Exchange por trás de um pre-auth reverse proxy

    • Como a Microsoft historicamente fez muito marketing do SharePoint para uso em intranet, muitas instituições o adotaram; com o fim do suporte ao SharePoint 2019, há muitas organizações tentando montar rapidamente sistemas substitutos

  • Fico me perguntando por que o Principal Engineer Copilot não conseguiu impedir esse tipo de vulnerabilidade

    • A vulnerabilidade pode existir desde antes de o Copilot receber esse cargo; pode até ser um problema que entrou na época de estagiário

    • Hackers, clientes, funcionários e administradores são todos parecidos; fomos hackeados repetidas vezes pela China, pelos próprios clientes e por administradores ou funcionários baseados na China, então considero que a empresa inteira já foi comprometida; expressa-se a desconfiança de que o PE copilot talvez até ajude os ataques

    • Os hackers também podem usar Copilot, então no fim um dos lados inevitavelmente vai vencer (?)

  • Passei tempo demais com SharePoint; expô-lo à internet nunca parece uma boa escolha; a partir de certa versão ele parece ter sido promovido também para uso como servidor web público, mas eu isolava todas as instâncias na rede ao instalar

    • No começo da década de 2010, a Microsoft fez marketing agressivo do SharePoint como solução para sites de internet, e já vi casos em que montadoras europeias como BMW e Ferrari o usavam em sites globais de marketing; mas custava caro demais, algo como US$ 40 mil por site, então isso não durou muito

    • Quando usei SharePoint brevemente muitos anos atrás, pensei que hospedagem web pública fosse seu propósito original

  • Entre funcionários do Pentágono, sempre se ouve a piada de que “se quiser derrubar o exército dos EUA, basta acabar com o SharePoint”; é um humor que sempre aparece em discursos militares

    • Houve uma época em que usávamos muito SharePoint na organização

  • Meu feed de alertas de segurança em tempo real pegou essa notícia antes da grande imprensa feed do ZeroDayPublishing

    • Fiquei curioso se eles também oferecem um feed RSS

  • Acho que, no negócio enterprise on-premises, deveria haver muito mais Red Hat do que Microsoft; uma vulnerabilidade dessas é inaceitável especialmente para clientes críticos como o DoD; muita gente diz que o Google é difícil de comprometer, enquanto órgãos governamentais ainda usam soluções on-premises frágeis como SharePoint; fico me perguntando por que não migram para o ecossistema Linux, que é mais barato e amplamente usado; será que segurança realmente não é a prioridade máxima?

    • Acho que isso acontece porque a Microsoft sabe navegar muito bem pelas regulações e pelos processos burocráticos exigidos para órgãos governamentais; não conheço ninguém no mundo Linux que faça isso nesse nível

  • Fico pensando se a Microsoft realmente chegou a administrar servidores do Departamento de Defesa dos EUA por meio de funcionários residentes na China; imagino que eles também devam usar SharePoint dentro do DoD

    • Existe uma versão separada do M365 usada pelo DoD (incluindo SPO), mas isso não tem relação com esta matéria

    • Link relacionado matéria da Reuters

    • Citando a matéria: “Falhas de programação em serviços de nuvem permitiram que hackers ligados à China roubassem emails do governo federal, e a ProPublica revelou que a Microsoft manteve até recentemente pessoal chinês como equipe de suporte em um programa de nuvem do Departamento de Defesa dos EUA; o secretário de Defesa ordenou uma revisão completa disso”

  • Achei impressionante que, como resultado dos cortes drásticos no orçamento da CISA, o pessoal de resposta a crises também tenha sido reduzido em 65%, o que fez a contenção de incidentes demorar muito mais

    • Não sei o que me irrita mais: o fato de tantos profissionais especializados terem perdido o emprego, ou o fato de que, mesmo com esses cortes, quase nenhum desperdício real foi encontrado; é uma situação realmente absurda

  • Talvez isso desagrade algumas pessoas, mas parte de mim até gostaria que acontecessem mais incidentes assim para que as empresas parassem de usar SharePoint; não uso desde 2017, mas sempre que usei foi péssimo, e eu até vestia uma camiseta com a frase “SharepoIT Happens”; todos os colegas da empresa concordavam que SharePoint era horrível

    • Não dá para parar de usar SharePoint sem parar de usar M365; por exemplo, quando você cria uma equipe no Teams, um grupo do M365 é criado automaticamente, e cada grupo ganha um site do SharePoint e uma mailbox do Exchange; os arquivos dos canais ficam armazenados no SharePoint, as mensagens ficam no Exchange, e os arquivos pessoais ficam no OneDrive (= SharePoint); na prática, o M365 inteiro é construído sobre SharePoint e Exchange

    • Já trabalhei em uma empresa onde tentaram implantar um sistema automático de DRM baseado em SharePoint; ao enviar um documento, o SharePoint aplicava DRM automaticamente, e quando o usuário fazia download, o arquivo só podia ser aberto em dispositivos autorizados; mas, dependendo da forma de login, também era possível baixar normalmente arquivos sem DRM, e nem os consultores da Microsoft conseguiram resolver

    • Na nossa empresa há SharePoint e também um site interno separado de documentos/notas (algo na linha de Notion/Quip/Confluence); a maioria dos desenvolvedores usa o segundo, mas alguns funcionários só sobem arquivos do Word, então no fim todo mundo é forçado a usar SharePoint e a procurar documentos em dois lugares

    • Meu chefe me fez continuar configurando SharePoint por mais de um ano, mas depois de seis meses investigando direito, não pareceu grande coisa; no fim ele contratou outro técnico, que instalou tudo em um dia, mas ninguém usa; a única coisa que ficou disso foi o roubo do meu pendrive USB rápido

    • Do ponto de vista de uma empresa de médio porte que trabalha com órgãos governamentais, mesmo que existam soluções melhores, quase não dá para usá-las; há tantas exigências de cibersegurança que o SharePoint acabou virando a “única opção comercialmente viável”; por mais inconveniente que ele seja, as alternativas são tratadas como “risco”; há inúmeras reclamações grandes e pequenas, como não conseguir rolar listas de arquivos, problemas de automação, login quebrado entre tenants do M365, URLs ilegíveis, busca fraca, erros em tabelas/filtros e interface escondida para configuração de permissões; isso não são problemas que deveriam exigir pesquisa para serem corrigidos

  • Se eu fizesse parte do conselho de uma empresa, jamais confiaria automaticamente em um CTO ou fundador que defendesse voluntariamente a adoção de soluções da Microsoft; cada vez que clico em um link do Microsoft Office dentro do Teams, minha desconfiança em relação à Microsoft só aumenta; não me surpreende nem um pouco que o SharePoint tenha vulnerabilidades