Microsoft colocou versões antigas do SharePoint em suporte de vida. Hackers estão se aproveitando

Centenas de organizações em todo o mundo sofreram violações de dados esta semana, quando uma série de hackers se apressou em explorar uma vulnerabilidade descoberta recentemente em versões mais antigas da ferramenta de compartilhamento de arquivos da Microsoft , conhecida como SharePoint. A série de violações se soma a uma dinâmica já urgente e complexa: instituições que são usuárias antigas do SharePoint podem enfrentar riscos maiores ao continuar usando o serviço, no momento em que a Microsoft está encerrando o suporte a uma plataforma em favor de ofertas de nuvem mais recentes.

A Microsoft informou na terça-feira que, além de outros agentes, observou diversos grupos de hackers ligados à China explorando a falha, que está presente especificamente em versões mais antigas do SharePoint hospedadas por organizações. A falha não afeta a versão mais recente do SharePoint, baseada em nuvem, que a Microsoft vem incentivando os clientes a adotar há muitos anos. A Bloomberg noticiou na quarta-feira que uma das vítimas é a Administração Nacional de Segurança Nuclear dos Estados Unidos, que supervisiona e mantém as armas nucleares americanas.

Servidores SharePoint "locais" ou autogerenciados são um alvo popular para hackers, porque as organizações frequentemente os configuram de forma que fiquem expostos na internet aberta e depois se esquecem deles ou não querem alocar orçamento para substituí-los. Mesmo que haja correções disponíveis, o proprietário pode deixar de aplicá-las. Esse não é o caso, no entanto, com o bug que desencadeou a onda de ataques desta semana. Embora esteja relacionado a uma vulnerabilidade anterior do SharePoint descoberta na competição de hackers Pwn2Own em Berlim em maio, o patch que a Microsoft lançou no início deste mês era falho , o que significa que até mesmo organizações que fizeram sua diligência de segurança foram pegas. A Microsoft se esforçou esta semana para lançar uma correção para a correção, ou o que a empresa chamou de "proteções mais robustas" em seu alerta de segurança .

“Na Microsoft, nosso compromisso — ancorado na Secure Future Initiative — é atender os clientes onde eles estão”, disse um porta-voz da Microsoft em um comunicado por e-mail. “Isso significa apoiar organizações em todo o espectro de adoção da nuvem, incluindo aquelas que gerenciam sistemas locais.”

A Microsoft ainda oferece suporte às versões 2016 e 2019 do SharePoint Server com atualizações de segurança e outras correções, mas ambas chegarão ao que a Microsoft chama de "Fim do Suporte" em 14 de julho de 2026. O SharePoint Server 2013 e versões anteriores já chegaram ao fim de sua vida útil e recebem apenas as atualizações de segurança mais críticas por meio de um serviço pago chamado "SharePoint Server Subscription Edition". Como resultado, todas as versões do servidor SharePoint estão cada vez mais fazendo parte de um remanso digital, onde a conveniência de continuar executando o software traz consigo riscos significativos e potencial exposição para os usuários, principalmente quando os servidores SharePoint ficam expostos na Internet.

“Anos atrás, a Microsoft posicionou o SharePoint como um substituto mais seguro para as antigas ferramentas de compartilhamento de arquivos do Windows, e é por isso que organizações como agências governamentais investiram na configuração desses servidores. E agora eles funcionam sem custo adicional, em comparação com uma assinatura do Microsoft 365 na nuvem, que envolve uma assinatura”, diz Jake Williams, experiente socorrista de incidentes e vice-presidente de pesquisa e desenvolvimento da Hunter Strategy. “Então, a Microsoft tenta pressionar os que resistem cobrando por suporte estendido. Mas se você estiver expondo um servidor SharePoint à internet, eu enfatizaria que você também precisa orçar a resposta a incidentes, porque esse servidor eventualmente será interrompido.”

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) afirmou em um guia sobre a vulnerabilidade na terça-feira que "a CISA recomenda desconectar as versões públicas do SharePoint Server que atingiram o fim de sua vida útil (EOL) ou o fim de seu serviço (EOS). Por exemplo, o SharePoint Server 2013 e versões anteriores estão no fim de sua vida útil e devem ser descontinuados se ainda estiverem em uso."

A ubiquidade do sistema operacional Windows da Microsoft em todo o mundo levou a outras situações em que uma longa despedida criou problemas de segurança para usuários resistentes — e outras organizações ou indivíduos com conexões com uma entidade vulnerável. A Microsoft teve dificuldades para lidar com a longa fila de usuários em edições extremamente populares do Windows, incluindo o Windows XP e o Windows 7. Mas software legado é um desafio para qualquer provedor de software ou infraestrutura digital. No início deste ano, por exemplo, a Oracle teria notificado alguns clientes sobre uma violação de segurança após invasores comprometerem um "ambiente legado" que havia sido praticamente desativado em 2017.

O desafio de um serviço como o SharePoint é que ele geralmente atua como uma ferramenta auxiliar, sem nunca ser o centro das atenções.

“Para softwares locais como o SharePoint, que é profundamente integrado à pilha de identidades da Microsoft, há vários pontos de exposição que precisam ser monitorados continuamente para conhecer, expor e fechar lacunas críticas”, afirma Bob Huber, diretor de segurança da empresa de segurança cibernética Tenable.

Questionado sobre a suposta violação na Administração Nacional de Segurança Nuclear (NNSA), o Departamento de Energia enfatizou que o incidente não impactou dados sensíveis ou classificados. "Na sexta-feira, 18 de julho, a exploração de uma vulnerabilidade de dia zero do Microsoft SharePoint começou a afetar o Departamento de Energia, incluindo a NNSA", disse um porta-voz do DOE à WIRED em um comunicado. "O Departamento foi minimamente impactado devido ao amplo uso da nuvem Microsoft M365 e de sistemas de segurança cibernética altamente eficientes. Um número muito pequeno de sistemas foi impactado. A NNSA está tomando as medidas adequadas para mitigar os riscos e fazer a transição para outros serviços, conforme apropriado."

A Microsoft não respondeu imediatamente aos pedidos de comentário da WIRED sobre o processo de descontinuação do SharePoint Server. A empresa escreveu em uma publicação de blog na terça-feira que os clientes devem manter as versões suportadas do SharePoint Server atualizadas com os patches mais recentes e ativar a "Interface de Verificação Antimalware" da Microsoft, bem como o Microsoft Defender Antivirus.