Violação do Microsoft SharePoint expõe empresas globais à execução de código e roubo de dados

A Microsoft está correndo para conter uma falha crítica de segurança em seu software de colaboração SharePoint que já foi explorada por agentes de ameaças para se infiltrar em milhares de organizações em todo o mundo.

A vulnerabilidade, sinalizada pela Agência de Segurança Cibernética e Infraestrutura (CISA) no fim de semana, permite que invasores não autenticados obtenham acesso total ao conteúdo do SharePoint e executem código remoto nas redes afetadas.

Ao contrário de muitos incidentes anteriores, essa violação não é teórica. Já resultou em ataques ao vivo, de acordo com pesquisadores de segurança.

Com o SharePoint servindo como backbone para colaboração de documentos em empresas em todo o mundo, a falha abre as portas para a exfiltração generalizada de dados, roubo de credenciais e plantio de backdoors.

A Microsoft lançou patches para algumas versões afetadas, mas nem todos os sistemas estão protegidos ainda, principalmente aqueles que executam o SharePoint Server 2016, que permanece sem correção.

A vulnerabilidade afeta os servidores locais do SharePoint, não o Microsoft 365

De acordo com um alerta da Microsoft no sábado, a vulnerabilidade afeta apenas os servidores locais do SharePoint, poupando a plataforma Microsoft 365 hospedada na nuvem da empresa.

No entanto, muitas empresas globais ainda dependem de versões auto-hospedadas do SharePoint, aumentando o alcance da ameaça.

A empresa europeia de segurança cibernética Eye Security, que detectou a falha pela primeira vez, observou que os hackers podem se passar por usuários ou serviços mesmo após a aplicação de um patch.

Isso torna a ameaça especialmente persistente e difícil de conter.

Os invasores estão explorando a falha para estabelecer acesso de longo prazo a sistemas corporativos, movendo-se lateralmente entre serviços da Microsoft, como Outlook e Teams, que geralmente são integrados aos servidores do SharePoint.

Microsoft e CISA emitem patches e avisos de segurança urgentes

No domingo, a Microsoft lançou correções de segurança para duas versões do software vulnerável do SharePoint, mas confirmou que ainda estava desenvolvendo um patch para a versão 2016.

A empresa ainda não forneceu mais comentários.

O aviso oficial da CISA descreveu a vulnerabilidade como permitindo "acesso não autenticado aos sistemas" e alertou que "representa um risco para as organizações".

A agência ainda está avaliando todo o escopo e escala da violação. As organizações que ainda não aplicaram os patches da Microsoft são incentivadas a fazê-lo imediatamente para mitigar possíveis comprometimentos.

A Palo Alto Networks confirmou que a exploração é "real, na natureza" e representa uma "séria ameaça".

O CTO e chefe de inteligência de ameaças da empresa, Michael Sikorski, disse que os invasores já estão dentro de sistemas comprometidos e estão exfiltrando dados, roubando chaves criptográficas e instalando malware persistente para manter o acesso.

Milhares de entidades globais provavelmente afetadas pela exploração ativa

Pesquisadores da Palo Alto Networks acreditam que milhares de organizações em todo o mundo já foram impactadas.

Dado o papel central que o SharePoint desempenha na colaboração corporativa, os sistemas comprometidos não estão apenas vazando documentos, mas também expondo comunicações internas confidenciais e credenciais de login.

Os invasores estão aproveitando a vulnerabilidade para se passar por usuários legítimos e navegar pelos serviços conectados, permitindo que eles extraiam dados ou escalem privilégios.

Mesmo os sistemas corrigidos podem permanecer vulneráveis a ataques de representação, a menos que medidas adicionais de mitigação sejam tomadas.

A exploração da falha do SharePoint segue um padrão visto em invasões cibernéticas anteriores em grande escala, onde os pontos de entrada iniciais são usados para comprometer uma infraestrutura mais ampla.

O fato de essa violação permitir a execução remota de código pela rede aumenta ainda mais o risco de rápida propagação entre sistemas internos.

Interrupção de TI não relacionada interrompe as operações da Alaska Airlines

Em um incidente não relacionado, a Alaska Airlines relatou uma breve interrupção em suas operações terrestres por cerca de três horas no início do domingo devido a uma interrupção de TI.

O porta-aviões retomou as operações por volta das 2h EST. Não há evidências atuais que vinculem a interrupção ao problema de segurança contínuo do SharePoint.

No entanto, o momento aumentou as preocupações sobre a resiliência digital no setor de transporte e aviação, que frequentemente depende da infraestrutura baseada na Microsoft para suas operações.

A indústria, como muitas outras, está sendo instada a verificar se há sinais de comprometimento.