Um ataque cibernético de grandes proporções vem chamando a atenção de autoridades e especialistas em segurança digital desde meados de julho. Hackers exploraram uma falha crítica em servidores locais do SharePoint, software de colaboração desenvolvido pela Microsoft, comprometendo sistemas de dezenas de organizações públicas e privadas. Alvos incluem agências federais e estaduais dos Estados Unidos, empresas de energia, instituições de ensino e até órgãos europeus e asiáticos.
O FBI, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), além de autoridades do Canadá e da Austrália, acompanham o caso. Embora a Microsoft tenha emitido alertas e liberado atualizações emergenciais, o estrago já estava feito: os ataques exploraram uma brecha do tipo “zero-day” – ou seja, uma vulnerabilidade que era desconhecida até então e, portanto, não havia defesa pronta contra ela.
A Eye Security, empresa de cibersegurança com sede na Holanda, relatou ter identificado ao menos 50 sistemas comprometidos. Um deles pertence a uma universidade brasileira, segundo os pesquisadores. Também foram atacadas instituições públicas na Espanha, nos Estados Unidos e uma empresa de telecomunicações da Ásia.
O que é o SharePoint
O SharePoint é uma plataforma corporativa da Microsoft usada para gerenciar documentos, criar intranets e integrar equipes por meio de funcionalidades como bibliotecas de arquivos, formulários e sistemas internos de colaboração. Muito popular entre órgãos públicos e grandes corporações, o software pode ser usado em versões locais ou na nuvem (como parte do pacote Microsoft 365).
O ataque atual afeta apenas os servidores locais. Mesmo assim, o impacto é grande: muitos desses sistemas se integram a outros serviços, como Outlook e Teams, aumentando o risco de vazamento de dados confidenciais e senhas. Um dos alvos foi a Administração Nacional de Segurança Nuclear dos EUA, que projeta e mantém o arsenal nuclear americano. Segundo a Bloomberg, não houve vazamento de dados sensíveis, já que a maior parte da infraestrutura da agência roda em nuvem.
“Qualquer pessoa que tenha um servidor SharePoint hospedado tem um problema”, alertou Adam Meyers, vice-presidente da empresa de segurança CrowdStrike, ao Washington Post.
Uma correção falha
A vulnerabilidade que deu origem à crise foi descoberta em maio, durante o Pwn2Own, uma competição de hackers éticos realizada em Berlim. Um pesquisador da empresa de telecomunicações Viettel, do Vietnã, demonstrou a falha, batizada de “ToolShell”, e recebeu US$ 100 mil pela descoberta. A responsabilidade por corrigir o problema foi da Microsoft, que lançou uma atualização no dia 8 de julho.
No entanto, dias depois, empresas de segurança começaram a observar movimentações suspeitas. Os hackers haviam desenvolvido uma forma de contornar a correção – ou seja, a atualização era ineficaz. Segundo um porta-voz da Microsoft ouvido pela Reuters na terça-feira passada, 22, novas atualizações foram liberadas para resolver o problema. Ainda assim, os invasores já haviam ganhado acesso a dezenas de sistemas críticos, com possibilidade de manter esse acesso mesmo após a correção.
A falha teria se originado da combinação de dois bugs apresentados no evento de Berlim. A Microsoft afirmou, em seu blog oficial, que grupos ligados ao governo chinês, como o Linen Typhoon e o Violet Typhoon, exploraram as brechas. A embaixada da China em Washington negou qualquer envolvimento, afirmando ser contra ataques cibernéticos e contra “difamações sem provas”.
Impactos e reações
Além dos EUA, alvos foram identificados na Europa, Ásia e América Latina. No leste dos Estados Unidos, uma assembleia legislativa teve seu repositório de documentos “sequestrado”. No Arizona, autoridades estaduais, locais e tribais se reuniram para avaliar os danos e compartilhar informações. A organização Center for Internet Security notificou cerca de 100 entidades vulneráveis, incluindo escolas e universidades.
Especialistas alertam que os hackers podem ter roubado chaves criptográficas que permitem reentrar nos sistemas mesmo depois de uma correção. “Corrigir agora não adianta para quem já foi invadido”, disse um pesquisador sob anonimato ao Washington Post. A gravidade aumentou ainda mais com os relatos de que parte da infraestrutura crítica do governo federal pode ter sido atingida.
A Microsoft, por sua vez, não ofereceu comentários detalhados à imprensa. No entanto, em um post técnico publicado em seu site, orientou administradores a desativar temporariamente os servidores SharePoint da internet ou aplicar medidas manuais de mitigação. Também admitiu que falhas anteriores em suas políticas de correção permitiram ataques semelhantes no passado.
