Uma vulnerabilidade grave e até então desconhecida no Microsoft SharePoint está sendo explorada em ataques direcionados, com foco inicial em órgãos governamentais de Estados Unidos, Alemanha e Reino Unido. A falha atinge apenas servidores locais e já comprometeu cerca de 100 organizações.
Falha zero-day no SharePoint
A brecha foi identificada no fim de semana pela CISA, agência de cibersegurança dos Estados Unidos, que emitiu alerta sobre exploração ativa. Pesquisadores da Eye Security e da Shadowserver Foundation confirmaram evidências de servidores invadidos em diversas regiões do mundo.
Segundo a Microsoft, atualizações de segurança foram disponibilizadas assim que o problema foi detectado, mas especialistas estimam que aproximadamente 10 mil sistemas continuam expostos à internet. A empresa informou que a versão em nuvem do SharePoint não é afetada.
Dados do motor de busca Shodan indicam que os servidores vulneráveis pertencem a bancos, hospitais, universidades e entidades públicas. A amplitude de setores envolvidos aumenta o risco para infraestruturas críticas, caso a exploração se expanda.
Alvos iniciais e extensão dos danos
Analistas da Censys relataram que os primeiros ataques foram altamente seletivos, característica típica de grupos de ameaças persistentes avançadas (APT) com ligações estatais. Agências federais e estaduais norte-americanas, além de organizações acadêmicas e empresas de energia, estão entre os alvos confirmados.
Embora os nomes afetados não tenham sido divulgados, a maior concentração de incidentes está nos Estados Unidos e na Alemanha, com registros também no Reino Unido. Investigações preliminares indicam possível vinculação parcial dos ataques à China, de acordo com informações fornecidas à Reuters.
Até o momento, não há confirmação sobre autoria. Pequim nega rotineiramente envolvimento em operações de hacking e a embaixada chinesa em Washington não respondeu aos questionamentos.
Especialistas alertam que a divulgação pública da vulnerabilidade deve acelerar tentativas de exploração por atores mal-intencionados adicionais, ampliando o número de organizações comprometidas nas próximas semanas.
Recomendações urgentes de segurança
Profissionais de cibersegurança recomendam que administradores de servidores SharePoint apliquem imediatamente os patches fornecidos pela Microsoft. Além disso, é aconselhável presumir que o sistema já possa ter sido violado e, portanto, iniciar procedimentos de contenção e análise forense.
Entre as ações sugeridas estão a revisão de logs de acesso, a verificação de contas privilegiadas e a implementação de regras de detecção para atividades anômalas específicas da vulnerabilidade identificada pela CISA.
Empresas dos setores financeiro, de saúde e de energia devem reforçar planos de resposta a incidentes, dada a criticidade dos dados armazenados nesses ambientes. Universidades e órgãos públicos, frequentemente alvos de campanhas APT, também precisam avaliar configurações de rede e segmentação de serviços.
Especialistas da Censys destacam que, embora a falha atinja somente instalações locais, qualquer servidor interno comprometido pode servir como porta de entrada para redes maiores, elevando o impacto potencial do ataque.
O cenário reforça a importância de políticas de atualização contínua, segmentação de ambientes e adoção de autenticação multifator, medidas consideradas essenciais para reduzir a superfície de ataque em plataformas de colaboração empresarial.
A CISA continua monitorando a evolução dos incidentes e deve fornecer orientações adicionais caso surjam novas evidências de exploração em larga escala. Organizações que utilizam SharePoint on-premises devem acompanhar os comunicados oficiais e aplicar correções sem atraso.
Até que a maioria dos sistemas seja corrigida, a expectativa do mercado é de crescimento no número de tentativas de invasão, incluindo campanhas oportunistas que buscam alvos menos protegidos. A rápida implementação das atualizações permanece a medida mais eficaz para mitigar o risco imediato.
