Ataque global expõe brecha crítica no SharePoint da Microsoft

Na última semana, uma vulnerabilidade inédita foi descoberta em servidores on‑premises do Microsoft SharePoint — software amplamente utilizado por empresas, agências governamentais e instituições de ensino. A falha, identificada pela primeira vez em 18 de julho pela empresa Eye Security, sediada na Holanda, foi explorada quase imediatamente, resultando em uma série de ataques cibernéticos dirigidos a diversas organizações ao redor do mundo.

Breve histórico e descoberta

Na sexta-feira (18/07), a olho atento da Eye Security detectou atividade suspeita em um servidor de um cliente. Já no sábado (19/07), a Microsoft emitiu um alerta informando que servidores locais — mas não os da nuvem (SharePoint Online) — estavam sob ataque ativo e recomendou medidas imediatas, como aplicação de patches e, se necessário, isolamento da rede.

Escala e alvos atingidos

Segundo a Eye Security, em parceria com a Shadowserver Foundation, foram detectadas quase 100 organizações vítimas, sendo a maioria localizadas nos Estados Unidos e na Alemanha. Entre elas, constam órgãos federais e estaduais, universidades — inclusive uma instituição brasileira —, empresas do setor energético, financeiro, saúde e auditoria.

Fontes adicionais apontam, ainda, que até 8.000 servidores podem estar vulneráveis, o que indica que o problema pode se expandir muito além dos inicialmente afetados.

A falha, classificada como “zero‑day”, permitia a execução de spoofing de identidade, acesso a criptographic keys e instalação de backdoors — abrindo caminho para acesso persistente aos sistemas alvo.

Pesquisas da Mandiant, Google Cloud e outros indicam que grupos vinculados ao governo chinês já exploraram o problema, embora especialistas alertem que múltiplos agentes maliciosos estariam tirando proveito da brecha.

Reação da Microsoft e autoridades

Na sequência da detecção, a Microsoft lançou patches críticos para o SharePoint Subscription Edition e o SharePoint 2019, com uma correção prometida em breve para o SharePoint 2016.

Organizações são instruídas a:

1. Atualizar imediatamente os servidores;
2. Desconectar sistemas vulneráveis da internet, caso não possam atualizar de imediato;
3. Rotacionar credenciais e chaves criptográficas;
4. Realizar análises forenses para detectar eventuais backdoors já instalados.

Agências como CISA (EUA), FBI, as autoridades canadenses, australianas e o gabinete do Reino Unido estão envolvidas nas investigações.

Comparativo com ataques anteriores

Esse episódio reforça uma tendência de falhas críticas em software corporativo. Entre os casos mais emblemáticos estão o ataque ao Exchange Server em 2021, explorando quatro zero‑days que atingiram cerca de 250.000 servidores globalmente, e a exploração do EternalBlue pela NSA, que desencadeou o ransomware WannaCry em 2017. Ambos são exemplos do potencial devastador de brechas em sistemas amplamente difundidos.

---

Recomendações e alerta contínuo

Apesar da disponibilidade de correções, especialistas alertam que apenas aplicar patches pode não ser suficiente. É fundamental:

• Entender se houve comprometimento anterior aos patches;
• Realocar credenciais potencialmente expostas;
• Implantar serviços de monitoramento contínuo;
• Revisar toda a configuração de segurança do servidor.