Hackers usam vulnerabilidade antiga da Microsoft para atacar governos em todo o mundo
Em julho de 2019, hackers obtiveram acesso a dezenas de servidores de computadores em Viena e Genebra, pertencentes às Nações Unidas. Em uma das maiores violações de informações da ONU, os cibercriminosos tinham dezenas de milhares de registros de funcionários, contratos, bancos de dados e senhas na ponta dos dedos.
Depois que os técnicos descobriram o ataque, tiveram que trabalhar por pelo menos dois finais de semana para isolar mais de 40 computadores comprometidos. Vinte computadores tiveram que ser completamente formatados e limpos.
Leia mais:
Guilherme de Pádua: morte do ex-ator se torna o assunto mais comentado da webYouTube é o aplicativo mais utilizado por crianças brasileiras; confira listaCom limite de dados nos planos da Starlink, quem não pagar terá velocidade reduzida
Esses hackers acessaram os servidores da ONU explorando uma vulnerabilidade antiga do Microsoft SharePoint, um software colaborativo de compartilhamento de arquivos que atua como uma rede interna para centenas de milhares de clientes, muitos deles corporações multinacionais, bancos, seguradoras e agências governamentais. A Microsoft emitiu uma correção para a vulnerabilidade do SharePoint no início de 2019, mas é improvável que essas atualizações tenham sido instaladas nos servidores da ONU.
Quatro especialistas foram entrevistados e disseram que centenas de milhares de usuários do SharePoint em todo o mundo ainda podem ser expostos a hacks semelhantes se não conseguirem instalar as atualizações de software. No início deste ano, atores apoiados pelo Estado iraniano provavelmente usaram a mesma vulnerabilidade para atingir servidores do governo albanês por um período de vários meses. Após a descoberta do hack, a Albânia rompeu relações diplomáticas com o Irã.
“É fascinante que aqui estamos, três anos e meio após os patches estarem disponíveis, e ainda sendo usado ativamente por agentes de ameaças”, disse Dustin Childs, chefe de conscientização de ameaças da Zero Day Initiative da Trend Micro, sobre a vulnerabilidade do SharePoint. A Zero Day Initiative paga pesquisadores para detectar pontos fracos em software amplamente utilizado, incluindo o CVE-2019-0604, a falha que os hackers usam há mais de três anos para obter acesso a sistemas críticos em todo o mundo.
Lançado em 2001, o Microsoft SharePoint é usado por todos os tipos de organizações para armazenar e compartilhar documentos e torná-los acessíveis a qualquer pessoa dentro da empresa. Em 2017, a Microsoft informou que mais de 250.000 organizações instalaram o SharePoint. Childs diz que o número de servidores rodando o software está na casa dos milhões.
Imagem: Rawpixel.com/Shutterstock
Ele, que trabalhou anteriormente na Microsoft, disse que os hackers podem usar o CVE-2019-0604 para acessar remotamente qualquer informação que uma organização armazena no SharePoint. “Porque dá a eles praticamente tudo”, disse Childs, “é o tipo de bug que as pessoas realmente gostam de usar quando são agentes de ameaças”. O CVE-2019-0604 tornou-se um ponto de acesso conhecido e muito usado por grupos de hackers para entrar em sistemas internos para coletar informações confidenciais ou plantar ransomware.
A Microsoft se recusou a responder sobre o número de usuários do SharePoint que permanecem vulneráveis ao CVE-2019-0604. Um porta-voz da empresa simplesmente respondeu: “Para estar totalmente protegido dessa vulnerabilidade, a Microsoft recomenda que os clientes instalem todas as atualizações listadas para seu sistema”.
O uso generalizado do SharePoint por instituições financeiras, empresas multinacionais e agências governamentais o tornou um alvo atraente para hackers em todo o mundo. Em 2019, o Centro Canadense de Segurança Cibernética e a Autoridade Nacional de Segurança Cibernética Saudita relataram ataques como aquele contra a ONU.
Também em 2019, atores apoiados pelo Estado iraniano o usaram para atacar uma empresa de energia do Oriente Médio não identificada. Em 2020, hackers desconhecidos atacaram dois municípios nos EUA, e o governo australiano divulgou que os sistemas SharePoint foram usados contra vários alvos no país. O Australian Cyber Security Center descreveu os ataques como “a segmentação cibernética mais significativa e coordenada contra instituições australianas que o governo australiano já observou”.
Em 2021, a gangue de hackers Hello/WickrMe o usou para lançar vários ataques de ransomware .
Claire Tills, engenheira de pesquisa sênior da empresa de segurança cibernética Tenable, disse que “os invasores preferem falhas como essa porque existem em produtos onipresentes em ambientes corporativos e dão a eles uma base para lançar atividades pós-exploração”.
A vulnerabilidade do SharePoint tem sido tão popular entre os hackers que a Agência de Segurança Cibernética e Infraestrutura do governo dos EUA (ou CISA), que faz parte do Departamento de Segurança Interna, incluiu a vulnerabilidade do SharePoint em sua lista das 10 vulnerabilidades mais exploradas entre 2016 e 2019.
Todos esses ataques ocorreram depois que a Microsoft já havia lançado patches para CVE-2019-0604 no início de 2019. Mas, para proteger um sistema, todos os três patches – lançados em fevereiro, março e abril de 2019 – precisam ser instalados.
Hackers se aproveitam do descuido dos usuários
Especialistas em segurança cibernética disseram que os usuários do SharePoint que instalaram a primeira e até a segunda atualização permanecem expostos se não perceberem que precisam fazer a terceira. Idealmente, uma falha como essa deveria ter sido corrigida de uma só vez, facilitando a vida dos usuários, que poderiam simplesmente aplicar uma correção e ter o problema resolvido. Em vez disso, a Microsoft atrapalhou o processo de correção, exigindo três atualizações separadas em vários meses.
E os próprios patches eram falhos – uma hora após a Microsoft lançar o primeiro patch, o mesmo pesquisador que descobriu o CVE-2019-0604 já havia ignorado o patch. “Temos patches ruins e comunicação pouco clara em torno deles que estão fazendo com que a indústria seja lenta na adoção de atualizações que são, em muitos aspectos, realmente críticas”, disse Childs.
Kevin Beaumont, especialista em segurança cibernética que trabalhava na Microsoft, acompanha a vulnerabilidade do SharePoint desde 2019. Na época, Beaumont disse que essa falha tinha potencial para ter um impacto duradouro. “Acho que esta será uma das maiores [vulnerabilidades] em anos. Ocorrerá em um monte de empresas. Tipo, MUITO” , escreveu ele no Twitter.
A previsão de Beaumont se concretizou. Mesmo que as organizações não tenham sido invadidas, aquelas que usam o SharePoint desde 2019 ou antes podem ficar vulneráveis se não tiverem instalado todas as atualizações lançadas desde então.
Por exemplo, em 2020, Dhiraj Mishra, na época consultor da empresa de segurança cibernética Cognosec, descobriu que o Departamento de Imposto de Renda na Índia e a MIT Sloan School of Management foram expostos pela vulnerabilidade do SharePoint. Depois que ele relatou suas descobertas à Equipe de Resposta a Emergências de Computadores da Índia e ao MIT, as organizações o corrigiram, escreveu Mishra.
Beaumont disse que o problema é que as organizações que usam o SharePoint ainda não o corrigiram, em parte porque o processo de correção não é simples. “A correção do SharePoint também é notoriamente complicada – seria mais rápido assistir às versões estendidas da trilogia O Hobbit e da trilogia O Senhor dos Anéis consecutivamente do que tentar atualizar o grande problema do SharePoint”, disse Beaumont em um bate-papo.
É isso que torna o SharePoint um alvo tão atraente — e tão difícil de corrigir: com tantas empresas e governos confiando no software como uma rede interna, ele geralmente é configurado para ser executado ao lado de outros sistemas essenciais, tornando a atualização complexa e demorada. Ninguém quer que seu laptop fique na tela azul enquanto espera por uma atualização – muito menos a rede de servidores de um município inteiro ou de uma corporação bilionária.
Outra complicação, disse Beaumont, é que a Microsoft lançou desde então uma versão em nuvem do SharePoint, chamada SharePoint Online, que torna a aplicação de patches muito mais fácil – porém nem todos os usuários migraram para a nuvem. “Se o SharePoint Online não existisse, todos os clientes estariam gritando sobre a aplicação de patches agora, na minha opinião. Em vez disso, essa pesquisa e desenvolvimento foram para a nuvem”, disse Beaumont.
As empresas que dependem de vendas tendem a se concentrar no desenvolvimento de novos produtos em vez de correções para sistemas que já venderam, de acordo com a Childs at Zero Day Initiative, o que significa que o desenvolvimento de patches raramente está no topo da lista. “O estado dos patches realmente não progrediu muito nos últimos 15 anos”, disse Childs, acrescentando que até 20% das vulnerabilidades para as quais sua organização paga aos pesquisadores são de patches com falha. “É surpreendente”.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
O post Hackers usam vulnerabilidade antiga da Microsoft para atacar governos em todo o mundo apareceu primeiro em Olhar Digital.
