Olhar Digital > Segurança e Privacidade > Hackers usam vulnerabilidade antiga da Microsoft para atacar governos em todo o mundo

Hackers usam vulnerabilidade antiga da Microsoft para atacar governos em todo o mundo

Milhares de usuários em todo o mundo ainda podem ser expostos a hacks se não instalarem as atualizações de software
Adriano Camargo14/11/2022 11h16, atualizada em 14/11/2022 11h25
Signal alerta usuários de mensagens sobre uma ameaça de segurança de hackers do Twilio
Imagem: adike/Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Em julho de 2019, hackers obtiveram acesso a dezenas de servidores de computadores em Viena e Genebra, pertencentes às Nações Unidas. Em uma das maiores violações de informações da ONU, os cibercriminosos tinham dezenas de milhares de registros de funcionários, contratos, bancos de dados e senhas na ponta dos dedos. 

Ofertas
Monitor Gamer AOC AGON G4S 25" 310Hz 0.3ms HDR10 IPS Base Ajustável 25G4S/P
Vendido por Amazon
Monitor Gamer AOC AGON G4S 25" 310Hz 0.3ms HDR10 IPS Base Ajustável 25G4S/P
Por R$ 1.479,00
Tilibra - Estojo Minibox Happy Lilás
Vendido por Amazon
Tilibra - Estojo Minibox Happy Lilás
De: R$ 38,12
Por: R$ 36,21
Caneta Gel – CiS Gelyx – Estojo com 6 unidades – Glitter
Vendido por Amazon
Caneta Gel – CiS Gelyx – Estojo com 6 unidades – Glitter
De: R$ 30,90
Por: R$ 24,96
Pentel Caneta Izee 4 Cores 1.0 Corpo Branco Tinta Azul Vermelho Verde e Preto SM/BXC470W
Vendido por Amazon
Pentel Caneta Izee 4 Cores 1.0 Corpo Branco Tinta Azul Vermelho Verde e Preto SM/BXC470W
De: R$ 15,32
Por: R$ 9,90
Tilibra - Caderno Brochura Capa Dura 1/4 D+ Rosa 48 Folhas, 317403
Vendido por Amazon
Tilibra - Caderno Brochura Capa Dura 1/4 D+ Rosa 48 Folhas, 317403
De: R$ 11,85
Por: R$ 5,86
Celular Positivo P26 4G Tela 1,8", Câmera traseira, 48MB RAM 128MB, Bluetooth, Modem Tethering - Preto
Vendido por Amazon
Celular Positivo P26 4G Tela 1,8", Câmera traseira, 48MB RAM 128MB, Bluetooth, Modem Tethering - Preto
Por R$ 139,90
Mochila Grande E Reforçada Impermeável Para Notebook Antifurto Bolsa Executiva Masculina Feminina Trabalho Viagem Escolar Faculdade Cabo De Aço Saída Usb Saída Fone De Ouvido
Vendido por Amazon
Mochila Grande E Reforçada Impermeável Para Notebook Antifurto Bolsa Executiva Masculina Feminina Trabalho Viagem Escolar Faculdade Cabo De Aço Saída Usb Saída Fone De Ouvido
De: R$ 149,79
Por: R$ 113,70
Tilibra D+ - Caderno Brochura Capa Dura, 1/4 Pequeno, 14x20cm, 48 Folhas, Vermelho
Vendido por Amazon
Tilibra D+ - Caderno Brochura Capa Dura, 1/4 Pequeno, 14x20cm, 48 Folhas, Vermelho
De: R$ 11,81
Por: R$ 6,90
Garmin Relógio Venu 3 Branco 45mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Venu 3 Branco 45mm com Monitor Cardíaco de Pulso e GPS
De: R$ 4.699,00
Por: R$ 3.099,00
eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais
Vendido por Amazon
eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais
De: R$ 3.499,00
Por: R$ 3.324,00
eufy HomeBase3, Câmera de segurança, Reconhecimento Facial por IA, Armazenamento Local Expansível até 16TB, Criptografia Avançada, Ecossistema de Segurança eufy, Sem taxas mensais
Vendido por Amazon
eufy HomeBase3, Câmera de segurança, Reconhecimento Facial por IA, Armazenamento Local Expansível até 16TB, Criptografia Avançada, Ecossistema de Segurança eufy, Sem taxas mensais
De: R$ 1.049,00
Por: R$ 799,00
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)
Vendido por Amazon
Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)
De: R$ 299,00
Por: R$ 241,44
Combo Teclado e Mouse sem fio Logitech POP Icon com Teclas e Botões Personalizáveis, Clique Silencioso, Easy-Switch para até 3 dispositivos e Conexão Bluetooth - Grafite
Vendido por Amazon
Combo Teclado e Mouse sem fio Logitech POP Icon com Teclas e Botões Personalizáveis, Clique Silencioso, Easy-Switch para até 3 dispositivos e Conexão Bluetooth - Grafite
De: R$ 499,90
Por: R$ 388,78
eufy Câmera S330 (eufyCam 3) 2-Cam Kit por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Painel Solar, Forever Power, Reconhecimento Facial IA, Armazenamento Local Até 16TB, Sem Taxa Mensal
Vendido por Amazon
eufy Câmera S330 (eufyCam 3) 2-Cam Kit por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Painel Solar, Forever Power, Reconhecimento Facial IA, Armazenamento Local Até 16TB, Sem Taxa Mensal
De: R$ 2.399,00
Por: R$ 2.159,00
soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios
Vendido por Amazon
soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios
De: R$ 339,00
Por: R$ 188,99
WB Smart Tag Localizador Bluetooth, Rastreador Compatível com o Apple Find My, bateria substituível, Localizador de itens para bolsas
Vendido por Amazon
WB Smart Tag Localizador Bluetooth, Rastreador Compatível com o Apple Find My, bateria substituível, Localizador de itens para bolsas
De: R$ 88,00
Por: R$ 45,00
Anker Nano Carregador Portátil, Power Bank Compacto 10000mAh 45W Máx., Bateria Portátil Essencial para Viagens com Cabo Retrátil InstaCord de 70 cm para iPhone 17/16 Series, iPad, Galaxy, Pixel e Mais
Vendido por Amazon
Anker Nano Carregador Portátil, Power Bank Compacto 10000mAh 45W Máx., Bateria Portátil Essencial para Viagens com Cabo Retrátil InstaCord de 70 cm para iPhone 17/16 Series, iPad, Galaxy, Pixel e Mais
De: R$ 399,00
Por: R$ 379,00
Capa com Teclado Combo Touch para iPad (10ª geração e A16) Com Teclado Retroiluminado Destacável com Suporte, Trackpad Preciso e Tecnologia Smart Connector - Cinza
Vendido por Amazon
Capa com Teclado Combo Touch para iPad (10ª geração e A16) Com Teclado Retroiluminado Destacável com Suporte, Trackpad Preciso e Tecnologia Smart Connector - Cinza
De: R$ 1.629,90
Por: R$ 1.239,90
ULANZI VL-200Bi 200W luz de estúdio bicolor, luz de preenchimento COB, iluminação de saída contínua com controle de APP, 2700K-6500K, 6 cenas, montagem Bowens
Vendido por Amazon
ULANZI VL-200Bi 200W luz de estúdio bicolor, luz de preenchimento COB, iluminação de saída contínua com controle de APP, 2700K-6500K, 6 cenas, montagem Bowens
De: R$ 1.179,00
Por: R$ 943,20
eufy Câmera S350, Camera de Segurança Wi-Fi, 4K Inteligente com Câmera Dupla, Visão 360°, Zoom 8×, Visão Noturna, Babá Eletrônica, Rastreamento por IA, Compatível com Alexa e HomeBase 3
Vendido por Amazon
eufy Câmera S350, Camera de Segurança Wi-Fi, 4K Inteligente com Câmera Dupla, Visão 360°, Zoom 8×, Visão Noturna, Babá Eletrônica, Rastreamento por IA, Compatível com Alexa e HomeBase 3
De: R$ 999,00
Por: R$ 798,99
WAAW By ALOK Fone de Ouvido Bluetooth SENSE 310 Com Cancelamento de Ruído e Assistente de Voz, 30h de Bateria
Vendido por Amazon
WAAW By ALOK Fone de Ouvido Bluetooth SENSE 310 Com Cancelamento de Ruído e Assistente de Voz, 30h de Bateria
De: R$ 329,90
Por: R$ 199,00
WAAW by ALOK Caixa de Som US 200SB DUO Bluetooth 2 em 1, Resistente à Água, Acabamento Metálico, TWS, 20W RMS
Vendido por Amazon
WAAW by ALOK Caixa de Som US 200SB DUO Bluetooth 2 em 1, Resistente à Água, Acabamento Metálico, TWS, 20W RMS
De: R$ 599,90
Por: R$ 476,10
Eufy Cam E340 Câmera De Segurança Wi-Fi Dual Band (2.4/5GHz) Exterior, 360° PTZ, Gravação 24/7, 2000 Lúmens, Detecção de Movimento + Sirene Integrada, Câmera Dupla, Sem Taxa Mensal, Branco
Vendido por Amazon
Eufy Cam E340 Câmera De Segurança Wi-Fi Dual Band (2.4/5GHz) Exterior, 360° PTZ, Gravação 24/7, 2000 Lúmens, Detecção de Movimento + Sirene Integrada, Câmera Dupla, Sem Taxa Mensal, Branco
De: R$ 1.199,00
Por: R$ 1.139,05
Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica
Vendido por Amazon
Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica
De: R$ 1.199,00
Por: R$ 949,00
Combo Teclado e Mouse Sem Fio Logitech MK250 Bluetooth com Conectividade Rápida e Fácil, Design Compacto, Mouse Ambidestro, Layout ABNT2, Construção Durável, Compatível com PC e Mac - Rosa
Vendido por Amazon
Combo Teclado e Mouse Sem Fio Logitech MK250 Bluetooth com Conectividade Rápida e Fácil, Design Compacto, Mouse Ambidestro, Layout ABNT2, Construção Durável, Compatível com PC e Mac - Rosa
Por R$ 169,90
Combo Teclado e Mouse sem fio Logitech MK235 com Conexão USB, Pilhas Inclusas e Layout ABNT2
Vendido por Amazon
Combo Teclado e Mouse sem fio Logitech MK235 com Conexão USB, Pilhas Inclusas e Layout ABNT2
De: R$ 149,90
Por: R$ 119,90
Anker MagGo Power Bank, Carregador Portátil com Certificação Qi2 de 15W, Compatível com MagSafe, 10.000mAh, Tela Inteligente e Suporte Dobrável, para iPhone 17/15/14/13/12, Inclui Cabo USB-C, Branco
Vendido por Amazon
Anker MagGo Power Bank, Carregador Portátil com Certificação Qi2 de 15W, Compatível com MagSafe, 10.000mAh, Tela Inteligente e Suporte Dobrável, para iPhone 17/15/14/13/12, Inclui Cabo USB-C, Branco
De: R$ 699,00
Por: R$ 398,99
Mouse Sem Fio Logitech M330 SILENT com Clique Silencioso, Design Destro, Bateria de 18 Meses, Receptor USB, Compatível com Windows, macOS, ChromeOS e Pilha Inclusa - Preto
Vendido por Amazon
Mouse Sem Fio Logitech M330 SILENT com Clique Silencioso, Design Destro, Bateria de 18 Meses, Receptor USB, Compatível com Windows, macOS, ChromeOS e Pilha Inclusa - Preto
De: R$ 109,90
Por: R$ 79,90
Webcam Full HD Logitech Brio 100 com Microfone Integrado, Proteção de Privacidade, Correção Automática de Luz e Conexão USB-C - Grafite
Vendido por Amazon
Webcam Full HD Logitech Brio 100 com Microfone Integrado, Proteção de Privacidade, Correção Automática de Luz e Conexão USB-C - Grafite
De: R$ 299,90
Por: R$ 199,90

Depois que os técnicos descobriram o ataque, tiveram que trabalhar por pelo menos dois finais de semana para isolar mais de 40 computadores comprometidos. Vinte computadores tiveram que ser completamente formatados e limpos.

Leia mais:

Esses hackers acessaram os servidores da ONU explorando uma vulnerabilidade antiga do Microsoft SharePoint, um software colaborativo de compartilhamento de arquivos que atua como uma rede interna para centenas de milhares de clientes, muitos deles corporações multinacionais, bancos, seguradoras e agências governamentais. A Microsoft emitiu uma correção para a vulnerabilidade do SharePoint no início de 2019, mas é improvável que essas atualizações tenham sido instaladas nos servidores da ONU.

Quatro especialistas foram entrevistados e disseram que centenas de milhares de usuários do SharePoint em todo o mundo ainda podem ser expostos a hacks semelhantes se não conseguirem instalar as atualizações de software. No início deste ano, atores apoiados pelo Estado iraniano provavelmente usaram a mesma vulnerabilidade para atingir servidores do governo albanês por um período de vários meses. Após a descoberta do hack, a Albânia rompeu relações diplomáticas com o Irã.

“É fascinante que aqui estamos, três anos e meio após os patches estarem disponíveis, e ainda sendo usado ativamente por agentes de ameaças”, disse Dustin Childs, chefe de conscientização de ameaças da Zero Day Initiative da Trend Micro, sobre a vulnerabilidade do SharePoint. A Zero Day Initiative paga pesquisadores para detectar pontos fracos em software amplamente utilizado, incluindo o CVE-2019-0604, a falha que os hackers usam há mais de três anos para obter acesso a sistemas críticos em todo o mundo.

Lançado em 2001, o Microsoft SharePoint é usado por todos os tipos de organizações para armazenar e compartilhar documentos e torná-los acessíveis a qualquer pessoa dentro da empresa. Em 2017, a Microsoft informou que mais de 250.000 organizações instalaram o SharePoint. Childs diz que o número de servidores rodando o software está na casa dos milhões.

Ataque hacker causa grande interrupção em todo o NHS
Imagem: Rawpixel.com/Shutterstock

Ele, que trabalhou anteriormente na Microsoft, disse que os hackers podem usar o CVE-2019-0604 para acessar remotamente qualquer informação que uma organização armazena no SharePoint. “Porque dá a eles praticamente tudo”, disse Childs, “é o tipo de bug que as pessoas realmente gostam de usar quando são agentes de ameaças”. O CVE-2019-0604 tornou-se um ponto de acesso conhecido e muito usado por grupos de hackers para entrar em sistemas internos para coletar informações confidenciais ou plantar ransomware. 

A Microsoft se recusou a responder sobre o número de usuários do SharePoint que permanecem vulneráveis ​​ao CVE-2019-0604. Um porta-voz da empresa simplesmente respondeu: “Para estar totalmente protegido dessa vulnerabilidade, a Microsoft recomenda que os clientes instalem todas as atualizações listadas para seu sistema”.

O uso generalizado do SharePoint por instituições financeiras, empresas multinacionais e agências governamentais o tornou um alvo atraente para hackers em todo o mundo. Em 2019, o Centro Canadense de Segurança Cibernética e a Autoridade Nacional de Segurança Cibernética Saudita relataram ataques como aquele contra a ONU.

Também em 2019, atores apoiados pelo Estado iraniano o usaram para atacar uma empresa de energia do Oriente Médio não identificada. Em 2020, hackers desconhecidos atacaram dois municípios nos EUA, e o governo australiano divulgou que os sistemas SharePoint foram usados ​​contra vários alvos no país. O Australian Cyber ​​Security Center descreveu os ataques como “a segmentação cibernética mais significativa e coordenada contra instituições australianas que o governo australiano já observou”. 

Em 2021, a gangue de hackers Hello/WickrMe o usou para lançar vários ataques de ransomware .

Claire Tills, engenheira de pesquisa sênior da empresa de segurança cibernética Tenable, disse que “os invasores preferem falhas como essa porque existem em produtos onipresentes em ambientes corporativos e dão a eles uma base para lançar atividades pós-exploração”.

A vulnerabilidade do SharePoint tem sido tão popular entre os hackers que a Agência de Segurança Cibernética e Infraestrutura do governo dos EUA (ou CISA), que faz parte do Departamento de Segurança Interna, incluiu a vulnerabilidade do SharePoint em sua lista das 10 vulnerabilidades mais exploradas entre 2016 e 2019.

Todos esses ataques ocorreram depois que a Microsoft já havia lançado patches para CVE-2019-0604 no início de 2019. Mas, para proteger um sistema, todos os três patches – lançados em fevereiro, março e abril de 2019 – precisam ser instalados. 

Hackers se aproveitam do descuido dos usuários

Especialistas em segurança cibernética disseram que os usuários do SharePoint que instalaram a primeira e até a segunda atualização permanecem expostos se não perceberem que precisam fazer a terceira. Idealmente, uma falha como essa deveria ter sido corrigida de uma só vez, facilitando a vida dos usuários, que poderiam simplesmente aplicar uma correção e ter o problema resolvido. Em vez disso, a Microsoft atrapalhou o processo de correção, exigindo três atualizações separadas em vários meses. 

E os próprios patches eram falhos – uma hora após a Microsoft lançar o primeiro patch, o mesmo pesquisador que descobriu o CVE-2019-0604 já havia ignorado o patch. “Temos patches ruins e comunicação pouco clara em torno deles que estão fazendo com que a indústria seja lenta na adoção de atualizações que são, em muitos aspectos, realmente críticas”, disse Childs.

Kevin Beaumont, especialista em segurança cibernética que trabalhava na Microsoft, acompanha a vulnerabilidade do SharePoint desde 2019. Na época, Beaumont disse que essa falha tinha potencial para ter um impacto duradouro. “Acho que esta será uma das maiores [vulnerabilidades] em anos. Ocorrerá em um monte de empresas. Tipo, MUITO” , escreveu ele no Twitter. 

A previsão de Beaumont se concretizou. Mesmo que as organizações não tenham sido invadidas, aquelas que usam o SharePoint desde 2019 ou antes podem ficar vulneráveis ​​se não tiverem instalado todas as atualizações lançadas desde então. 

Por exemplo, em 2020, Dhiraj Mishra, na época consultor da empresa de segurança cibernética Cognosec, descobriu que o Departamento de Imposto de Renda na Índia e a MIT Sloan School of Management foram expostos pela vulnerabilidade do SharePoint. Depois que ele relatou suas descobertas à Equipe de Resposta a Emergências de Computadores da Índia e ao MIT, as organizações o corrigiram, escreveu Mishra.

Beaumont disse que o problema é que as organizações que usam o SharePoint ainda não o corrigiram, em parte porque o processo de correção não é simples. “A correção do SharePoint também é notoriamente complicada – seria mais rápido assistir às versões estendidas da trilogia O Hobbit e da trilogia O Senhor dos Anéis consecutivamente do que tentar atualizar o grande problema do SharePoint”, disse Beaumont em um bate-papo.

É isso que torna o SharePoint um alvo tão atraente — e tão difícil de corrigir: com tantas empresas e governos confiando no software como uma rede interna, ele geralmente é configurado para ser executado ao lado de outros sistemas essenciais, tornando a atualização complexa e demorada. Ninguém quer que seu laptop fique na tela azul enquanto espera por uma atualização – muito menos a rede de servidores de um município inteiro ou de uma corporação bilionária.

Outra complicação, disse Beaumont, é que a Microsoft lançou desde então uma versão em nuvem do SharePoint, chamada SharePoint Online, que torna a aplicação de patches muito mais fácil – porém nem todos os usuários migraram para a nuvem. “Se o SharePoint Online não existisse, todos os clientes estariam gritando sobre a aplicação de patches agora, na minha opinião. Em vez disso, essa pesquisa e desenvolvimento foram para a nuvem”, disse Beaumont. 

As empresas que dependem de vendas tendem a se concentrar no desenvolvimento de novos produtos em vez de correções para sistemas que já venderam, de acordo com a Childs at Zero Day Initiative, o que significa que o desenvolvimento de patches raramente está no topo da lista. “O estado dos patches realmente não progrediu muito nos últimos 15 anos”, disse Childs, acrescentando que até 20% das vulnerabilidades para as quais sua organização paga aos pesquisadores são de patches com falha. “É surpreendente”.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

Adriano Camargo
Redator(a)
Adriano Camargo no Facebook Adriano Camargo no Instagram Adriano Camargo no Twitter Adriano Camargo no LinkedIn

Jornalista 100% geek há quase 20 anos, pai do Alê, fanático por tecnologia, games, Star Wars, esportes e chocolate. Narrador/comentarista esportivo e Atleta Master. Não necessariamente nessa ordem.

Ícone tagsTags: