Uma nova vulnerabilidade foi identificada nos servidores Microsoft SharePoint, levando a uma onda global de preocupação entre especialistas em segurança cibernética. A falha, classificada como zero-day — um tipo de brecha desconhecida pelo fabricante no momento de sua exploração — tem sido usada por grupos de ransomware para atacar sistemas amplamente.
Organizações que não aplicaram as correções necessárias em seus servidores SharePoint estão agora vulneráveis. Segundo especialistas da Eye Security, já foram identificados mais de 400 sistemas invadidos, o que representa um risco crescente para instituições públicas e privadas.
Impacto nos Estados Unidos
Os ataques afetaram diversas agências federais dos EUA, incluindo os departamentos de Energia, Segurança Interna e Saúde. Mais de 90 órgãos estatais e locais já sofreram tentativas de invasão. Especialistas alertam para a propagação das ameaças para setores como educação, transporte, tecnologia e finanças, caso as entidades não implementem os patches de segurança recomendados pela Microsoft.
Novo grupo de ransomware: Warlock
Entre os grupos de ataque, destaca-se o Warlock, uma gangue de ransomware que surgiu em junho, responsável por ataques a 19 alvos, incluindo setores de governo, manufatura, finanças e consumo. De acordo com a Halcyon, o Warlock pode ser uma ramificação do notório grupo Black Basta, que invadiu inúmeras organizações globalmente.
Os ataques recentes são caracterizados por sua sofisticação. Os invasores têm roubado chaves de máquina, permitindo a manutenção de acessos mesmo após notificações corretivas no sistema.
Persistência da ameaça
Rafe Pilling, diretor de inteligência de ameaças na Sophos, destaca o potencial de ataques de ransomware em larga escala decorrentes dessa vulnerabilidade. Apesar de ainda não haver casos reportados no SharePoint, Pilling sugere que é uma questão de tempo. Ele observa que a negligência na aplicação de atualizações críticas pode manter brechas abertas para criminosos.
O histórico com falhas como as do Exchange Server em 2021 demonstra como vulnerabilidades podem ser rapidamente exploradas, resultando em múltiplas invasões. Atualizações e correções contínuas ainda são essenciais mesmo anos após as falhas serem inicialmente consertadas.
Complexidade do ataque
A exploração da falha no SharePoint envolve a combinação de duas vulnerabilidades anteriormente consideradas de baixo risco individualmente. Entretanto, quando utilizadas em conjunto, tornam-se uma arma eficaz para invasores. Conforme Cliff Steinhauer, abordagens multietapas desse tipo estão se tornando práticas comuns.
Steinhauer explica que os atacantes exploram a falta de prioridade na correção de falhas devido ao grande volume de atualizações necessárias. “Eles estão manipulando esse cenário”, afirma ele. A estratégia para os próximos meses envolve garantir a aplicação devidamente cuidadosa das atualizações necessárias para mitigar os riscos.
