Os hackers responsáveis pela primeira vaga de ataques que exploram uma falha de segurança "zero-day" nos servidores Microsoft SharePoint têm como alvo principal organizações governamentais, de acordo com investigadores e relatos na imprensa internacional. A situação já motivou um alerta da agência de cibersegurança norte-americana, a CISA.
Durante o fim de semana, a CISA emitiu um aviso sobre a exploração ativa de uma vulnerabilidade até então desconhecida no SharePoint, o produto de gestão de dados empresariais da Microsoft. Embora as conclusões ainda sejam preliminares, tudo indica que os primeiros a tirar partido desta falha focaram-se em alvos governamentais, segundo Silas Cutler, investigador principal da Censys, uma empresa de cibersegurança que monitoriza atividades de hacking na internet.
Alvos selecionados e o potencial de alastramento
"Parece que a exploração inicial foi dirigida a um conjunto restrito de alvos, provavelmente relacionados com o governo", afirmou Cutler em declarações ao TechCrunch. O investigador alerta, no entanto, para a rápida evolução do cenário. "A exploração inicial desta vulnerabilidade foi provavelmente bastante limitada em termos de alvos, mas à medida que mais atacantes aprendem a replicar a exploração, é provável que vejamos mais violações de segurança como resultado deste incidente", acrescentou.
Com a vulnerabilidade agora pública e ainda sem uma correção completa por parte da Microsoft, existe o risco de outros grupos de hackers, não necessariamente ligados a estados, se juntarem aos ataques. Silas Cutler refere que a sua equipa identificou entre 9.000 e 10.000 instâncias vulneráveis do SharePoint acessíveis através da internet, um número que pode variar. A empresa Eye Security, que foi a primeira a divulgar a existência da falha, reportou números semelhantes, indicando ter encontrado dezenas de servidores já comprometidos.
Dado o número limitado e o tipo de alvos iniciais, Cutler sugere que os atacantes podem ser um grupo patrocinado por um governo, comummente designado como uma ameaça persistente avançada (APT). A tese é corroborada por uma reportagem do The Washington Post, que noticiou no domingo que os ataques visaram agências federais e estatais dos EUA, bem como universidades e empresas do setor da energia, entre outros alvos comerciais.
A resposta da Microsoft e as versões afetadas
Numa publicação no seu blogue oficial, a Microsoft esclareceu que a vulnerabilidade afeta apenas as versões do SharePoint que são instaladas em redes locais (on-premises) e não as versões na cloud. Isto significa que cada organização que utiliza um servidor SharePoint próprio é responsável por aplicar a atualização de segurança ou, como medida de contenção, desligá-lo da internet para evitar a exploração da falha.
Nenhum comentário
Seja o primeiro!