Instalação de Armas Nucleares dos EUA é comprometida por hackers estrangeiros por meio de falhas do SharePoint

 (csoonline.com)
1 pontos por GN⁺ 2025-10-22 | 1 comentários | Compartilhar no WhatsApp
  • Uma falha de segurança do SharePoint permitiu que hackers estrangeiros invasossem uma instalação de armas nucleares dos EUA
  • O incidente indica potencial de impacto também em ambientes de operação, como sistemas de controle de qualidade e sistemas SCADA
  • A desconexão entre a segurança de TI e OT se revelou como uma questão crítica em toda a esfera federal
  • O governo federal avançou com uma estratégia de zero trust para redes de TI tradicionais, mas a aplicação em ambientes OT está atrasando
  • O Departamento de Defesa está desenvolvendo controles de zero trust para OT, e uma estratégia de segurança integrada envolvendo TI e OT deve ser estabelecida

Vulnerabilidade do SharePoint e invasão de uma instalação de armas nucleares dos EUA

  • Ocorreu um incidente em que hackers estrangeiros acessaram uma instalação de armas nucleares dos EUA usando uma falha do SharePoint
  • O especialista Sovada enfatizou que esse acesso pode afetar sistemas de controle distribuído que gerenciam a garantia de qualidade, bem como sistemas SCADA responsáveis por controle de energia e ambiente
  • Isso sugere que o problema não se trata apenas de uma falha de TI

Lacuna entre IT/OT e segurança de Zero Trust

  • O incidente de Kansas City destacou um problema estrutural de desalinhamento entre práticas de segurança de TI e OT em todo o governo federal
  • O governo federal tem avançado no desenvolvimento de um roteiro zero trust para redes de TI existentes
  • No entanto, nas operações (OT), a construção de uma estrutura de segurança similar está relativamente atrasada
  • Recentemente, também houve avanço no desenvolvimento desse framework de segurança da OT (tecnologia operacional)

Tentativas de integrar a segurança de TI e OT

  • Sovada citou que existem ferramentas de gestão de TI (playbooks) para zero trust, segmentação de rede, autenticação e gestão de identidade
  • O Departamento de Defesa dos EUA está desenvolvendo um playbook de zero trust para ambientes OT
  • A meta final é integrar as diretrizes de governança de zero trust para TI e OT, com o objetivo de uma segurança abrangente em todos os tipos de rede

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-22
Comentário do Hacker News

  • Quando recebo uma oferta de emprego, uma das primeiras coisas que faço é conferir o registro MX do domínio de e-mail da empresa; é uma forma de checar em 1 segundo se ela é uma empresa baseada em Microsoft, sem que a outra parte perceba. Se for Microsoft, para mim isso é um grande sinal de alerta. Não quero dizer isso só porque os produtos da Microsoft dominam, mas pela minha experiência pessoal de mais de 20 anos: empresas com stack de TI baseada em MSFT tendem a ter uma cultura de engenharia que eu não gosto. Não dá para dizer que toda empresa que usa apenas Outlook, SharePoint e Teams é automaticamente uma empresa com cultura ruim; mas ainda assim acho que é um indicador com alta chance de a empresa ter uma cultura técnica ruim, mais do que qualquer pergunta da entrevista. Pode soar rude para engenheiros obcecados pela Microsoft, mas desculpa de verdade — o problema sou eu.

    • Falando com sinceridade, quando penso assim posso parecer um funcionário problemático. As empresas que não usam Microsoft, em geral, usam Google, e na minha experiência até é pior. Na prática, com pessoas que odeiam a Microsoft, o que vi foi que elas ficam atrapalhando a equipe porque se recusam a usar as ferramentas escolhidas pela empresa. (Também não sei por que aquele post antigo de repente perdeu nota.)

    • Se a empresa fornece notebook Mac, isso é um bom sinal para mim; se fornece Windows, é um sinal ruim. A melhor empresa em que trabalhei entregava MacBook e desktop Linux como equipamentos padrão para cada engenheiro de software.

    • Concordo totalmente. Trabalhei nos dois ambientes, e hoje em dia no ambiente Microsoft eu não quero voltar a menos que o salário seja de 7 dígitos.

    • Sinto pessoalmente que existe uma relação entre baixa valorização do trabalho (ex.: abuso de visto h1b) e o uso do ecossistema Microsoft. Morando na Califórnia, dá para ver que há muito pouco respeito por talentos e trabalhadores locais. O clima ali também desmonta rapidamente sindicatos e até mesmo o próprio estado.

    • Esse ambiente é realmente horrível. Acredita-se que software e computadores “não importam tanto”, e isso parece afetar negativamente também quem cria software.

  • Quando aparece um assunto assim, todo mundo fala “Microsoft é ruim kkk”, mas acho que não pensam nos motivos de negócio que sustentam isso. Dizer para não usar Exchange? Qual é a alternativa? Ele suporta de 15 a 150 mil usuários? Eu já gerenciei um cluster Exchange com 70 mil pessoas. Existe algum software de e-mail que substitua um sistema com ponto único de entrada e redundância via discos compartilhados? Agora descobriram mais duas RCEs no SharePoint? Não me surpreende, a própria Microsoft não é lá essas coisas. Mesmo assim, esse software aguenta cargas grandes. Quase todas as soluções open source funcionam em ambientes pequenos e quebram com frequência em escala. Também entendo que desenvolvedores open source não querem fazer de graça esse trabalho chato de interagir com usuários com baixa alfabetização digital. Além disso, o software da Microsoft oferece certa retrocompatibilidade. Empresas carregam legados de décadas de arquivos do tipo currículo antigo, planilhas com macros do Excel etc. Pode até abrir mão de parte da segurança em relação ao Registry, mas arquivos de macro do Excel de 1997 ainda funcionam. Acho difícil encontrar um pacote de escritório com compatibilidade de Office igual ao da Microsoft. O ponto é que a Microsoft tem um problema tipo nó de Górdio, e, na prática, a resposta é: “chega de retrocompatibilidade, atualizem tudo”. No meio disso, recebi de uma empresa onde trabalhei há alguns anos um pedido para atualizar uma solução feita com Exchange Web Services. A Microsoft desligou o Exchange Web Services no Office 365 e pediu para mudar para Graph API.

    • A discussão parece falar dos pontos positivos dos produtos da Microsoft com foco no Exchange, mas o tema aqui é o SharePoint. Assim como no Windows, a Microsoft ergueu barreiras com coisas como Exchange. O que me deixa curioso é por que todas as empresas escolhem todo o ecossistema Microsoft. Especialmente em tecnologia web, a Microsoft é muito ruim, e o SharePoint é o pior. Ainda assim, parece haver casos reais de implementação de grandes sistemas de e-mail com Postfix/Dovecot. Compartilhamento de experiência de setup de servidor de e-mail em larga escala no Reddit

    • Eles dizem que o SharePoint foi invadido por RCE novamente e que o software é grave, mas no fim é só um servidor de compartilhamento de arquivos? (Não usei.) Acho que Samba ou servidor FTP também lidam com alto volume; na prática, é mais problema de interface.

    • Fico curioso de como essas fábricas antigas de armamentos funcionavam sem esses sistemas.

    • Fico em dúvida de quantas empresas precisariam de Exchange para suportar 150 mil usuários. Em fabricantes comuns provavelmente quase nenhuma.

    • Desenvolvedores open source quase nunca querem assumir softwares desse tipo, chatos e com usuários pouco técnicos. O governo poderia contratar pessoas que desenvolvem open source para contribuir com interesse público. O governo dos EUA, durante o governo Obama, criou o órgão “18F” e realmente desenvolveu software útil para cidadãos. Até mesmo áreas sempre problemáticas como o sistema de declaração de imposto, com resultados ótimos; mas o Trump fechou essa organização logo após o segundo mandato. (Referência: História e valores da 18F, Lawfare: lições do legado da 18F)

  • Não consigo entender como alguém instala SharePoint em instalações críticas nacionais. Como alguém consegue usar Microsoft em algo ligado a informação tão sensível, como MS Office 365, Teams, Edge? Parece que as políticas de segurança precisam ser redesenhadas imediatamente.

    • Há más notícias de verdade nesse cenário.

    • Então qual seria uma solução alternativa recomendada?

    • Vi pessoas dizendo que colocaram documentos top secret no banheiro público de um resort...

    • Mas assim, tudo isso sai de graça, certo? /Brincadeira

  • Eu já tive a experiência de derrubar um sistema de alertas por causa do Excel. (Na prática é uma história sobre efeitos colaterais não intencionais mais do que sobre Microsoft.) Eu administrava um sistema de alerta que buscava a palavra-chave 'alert_log' nos logs. Eu montei uma planilha de rastreamento de dados no Excel e nomeei uma aba de 'alert_log'. Como era Excel na nuvem, todo texto inserido passava pelo firewall. O texto 'alert_log' foi registrado nos logs de firewall. O sistema de alerta achou que havia essa palavra em log e continuou disparando alertas. No segundo alerta, entrou de novo o conteúdo dos logs do firewall e foi para um loop infinito. Sistemas podem interagir de forma não intencional e produzir comportamento inesperado. Por isso, abordagem em camadas como auditoria, red team e defense in depth é importante.

    • Como engenheiro de firewall, ao lidar com isso orientei que a geração de logs de tráfego do firewall seja desativada quando os logs forem exportados para syslog.

  • SharePoint é, entre os softwares que já usei, o pior e com mais bugs. Com o Solidworks (ferramenta de modelagem 3D), há um bug de anos em que arquivos deixam de abrir de repente. A Microsoft conhece isso e não parece haver motivo impossível para corrigir, mas ficou anos sem conserto. O armazenamento em nuvem da Microsoft é um labirinto; é incerto onde um arquivo está e se está funcionando. Algumas funções funcionam só no navegador, outras só no app, e essa lista também não é consolidada. Então tenho certeza de que há infinitas outras vulnerabilidades esperando para serem exploradas.

    • Nos produtos recentes da Microsoft (especialmente cloud), cada uso traz mais bugs, erros e uma lentidão maior que o esperado. Recentemente, ao tentar configurar DKIM no 365 para envio de e-mail por novo subdomínio, foi difícil encontrar onde estava essa configuração. Descobri que a chave DKIM para e-mail de subdomínio precisa ficar no domínio raiz. Isso é mesmo ineficiente.

    • Hoje estou em projeto com contrato governamental e há pressão para migrar tudo de Slack para MS Teams. Segui sem usar produtos Microsoft por quase 20 anos, e tô percebendo que em empresa grande e órgão público a tolerância à dor de UX é infinita.

    • Fazemos sincronização de arquivos com rsync para um SharePoint hospedado pela Microsoft. Em arquivos Microsoft (ex.: Excel), quando chega um arquivo, os metadados internos mudam, o checksum muda, e o rsync passa a achar que o arquivo mudou novamente, exigindo sincronização repetida.

    • O MS Word Online tem um bug de apagar texto há pelo menos 2 anos no Firefox Linux (ou talvez outros SOs?). A tarefa principal de um editor de texto é escrever no documento, e isso não funciona; o bug também não é corrigido. Seria melhor mesmo migrar para Overleaf pago e ensinar LaTeX ou o editor integrado para usuários não técnicos. A saída de documentos também fica bonita, e o Overleaf funciona sem travar. Funciona muito bem para mim. Considero estranha essa prioridade da Microsoft, mesmo com assinatura Business 365 paga. Q&A oficial sobre bug de texto sendo apagado na versão web do Word

    • Serviços Microsoft como SharePoint parecem ter papel essencial internamente, mas parecem tratados pela própria Microsoft como “caixa de problemas esquecida”.

  • Se SharePoint não é bom, por que não há muitos incidentes de abuso em larga escala? Trabalho com clientes de várias empresas Fortune 500, e na prática 90%+ usam SharePoint. Claro que há diferenças de implantação, mas, se implantado corretamente, pode ser bem útil. Mesmo que houvesse alternativa melhor, manter 5 a 10 produtos de diferentes vendors já é mais trabalho. Não entendo porque tanta gente reclama do Teams. Já usei Zoom, Slack, Discord e outras ferramentas de colaboração, mas o Teams atende tudo: cronograma, reunião, gravação, uso do Copilot. O compartilhamento de múltiplas telas em tempo real e entrada livre em canais no Discord é ótimo para debugging e pair programming, mas o Teams cobre todas as necessidades básicas.

    • A maioria dos que usam SharePoint mantém ele aberto só para serviços internos. Com o Microsoft Office 365, a Microsoft passou a empurrar SharePoint novo no modelo SaaS com exposição para internet. Em contrapartida, a Microsoft assume responsabilidade por patching e segurança de WAF.

  • Para quem opera soluções OT, sempre fico desconfortável ao ver permissão de escrita direta de nível 5 do modelo Purdue para nível 1/0. (Extra) Sobre esse modelo de Purdue: há explicação neste link.

  • Ao ver esse caso, lembro da seção de MSSQL do howfuckedismydatabase.com

    • MSSQL, na minha visão, é um dos melhores produtos da Microsoft. Tem peculiaridades próprias (Oracle também), mas em recursos e estabilidade é excelente.

  • (Link compartilhado de incidente recente relacionado ao CVE-2025-53770)

  • Quem expõe instalações nucleares na internet deveria ir para a cadeia.

    • Na verdade não se trata de instalação de fissão, e sim de uma fábrica que produz componentes críticos para armamentos nucleares dos EUA. Pelas reportagens, o alvo do incidente foram sistemas de TI, e os sistemas operacionais reais podem ter estado em isolamento (air gap) da rede externa. Ainda assim, não dá para isolar totalmente uma instalação de produção sensível. Lá também é inevitável ter algum nível de conexão externa porque os funcionários precisam de comida, material de escritório, papel higiênico e outras necessidades básicas.