Uma atualização de segurança, lançada este mês pela Microsoft, falhou na sua missão de corrigir totalmente uma vulnerabilidade crítica no seu software SharePoint Server. Esta falha abriu as portas a uma vasta operação de ciberespionagem a nível mundial, que já terá visado cerca de 100 organizações só no último fim de semana.
Na terça-feira, um porta-voz da Microsoft confirmou que a solução inicial para a falha, identificada pela primeira vez numa competição de hacking em maio, não foi eficaz. No entanto, a empresa garante que lançou posteriormente novas correções que resolvem o problema de forma definitiva.
Ainda não é claro quem está por detrás da campanha de espionagem, mas espera-se que o número de ataques aumente à medida que mais hackers se juntam à ofensiva. Num post de blogue, a Microsoft atribuiu a exploração inicial da vulnerabilidade a dois grupos de hackers alegadamente chineses, apelidados de "Linen Typhoon" e "Violet Typhoon", juntamente com um terceiro grupo também sediado na China. A Google corroborou a suspeita de que hackers ligados à China estariam por detrás da primeira vaga de ataques.
O governo chinês nega rotineiramente qualquer envolvimento em operações de hacking, com a sua embaixada em Washington a afirmar em comunicado que a China "se opõe a todas as formas de ciberataques" e repudia o ato de "difamar outros sem provas sólidas".
A origem da falha: uma competição de hacking de 100.000 dólares
A vulnerabilidade, agora conhecida como "ToolShell", foi descoberta em maio durante uma competição de hacking em Berlim, organizada pela empresa de cibersegurança Trend Micro. O evento oferecia prémios em dinheiro pela descoberta de falhas de segurança em softwares populares.
Foi oferecido um prémio de 100.000 dólares (aproximadamente 92.500 euros) por um "zero-day", uma exploração que tira partido de uma falha digital até então desconhecida, especificamente no SharePoint, a plataforma de gestão de documentos e colaboração da Microsoft.
Um investigador da Viettel, a vertente de cibersegurança de uma empresa de telecomunicações gerida pelo exército do Vietname, foi quem identificou e demonstrou como explorar a falha, ganhando o prémio máximo. A Trend Micro afirmou que a responsabilidade de corrigir as falhas de forma eficaz e atempada é dos fornecedores participantes, acrescentando que "os patches podem ocasionalmente falhar" e que "isto já aconteceu com o SharePoint no passado".
Espionagem em larga escala e os suspeitos do costume
Apesar de a Microsoft ter listado a falha como crítica e lançado uma correção a 8 de julho, cerca de dez dias depois, as empresas de cibersegurança começaram a detetar um enorme afluxo de atividade maliciosa. Segundo a empresa britânica Sophos, "os agentes de ameaça desenvolveram posteriormente explorações que parecem contornar estas correções".
Entre as vítimas já confirmadas encontra-se a Administração Nacional de Segurança Nuclear dos EUA (NNSA), a agência responsável pela manutenção e desenvolvimento do arsenal de armas nucleares do país, conforme noticiado pela Bloomberg News. Fontes indicam que, até ao momento, não há conhecimento de que informação sensível ou classificada tenha sido comprometida.
Milhares de servidores continuam em risco
O universo de alvos potenciais para a falha "ToolShell" permanece vasto. Dados do motor de busca Shodan, que identifica equipamento ligado à internet, mostram que mais de 8.000 servidores online poderiam, teoricamente, já ter sido comprometidos. Estes servidores pertencem a redes de auditores, bancos, empresas de saúde, grandes conglomerados industriais e até organismos governamentais estatais e internacionais.
A Shadowserver Foundation, que monitoriza a internet em busca de vulnerabilidades, eleva este número para um pouco mais de 9.000, alertando que se trata de uma estimativa mínima. A maioria dos servidores afetados localiza-se nos Estados Unidos e na Alemanha. O gabinete federal de segurança da informação da Alemanha, o BSI, declarou na terça-feira não ter encontrado servidores governamentais comprometidos, apesar de alguns estarem vulneráveis ao ataque.
Nenhum comentário
Seja o primeiro!