Uma vulnerabilidade crítica e até então desconhecida no Microsoft SharePoint, identificada no último fim de semana, está sendo explorada em ataques direcionados contra órgãos governamentais, universidades e companhias do setor de energia. O alerta foi emitido pela Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), que confirmou a existência de incidentes em andamento envolvendo a falha.
O SharePoint é amplamente utilizado por organizações privadas e entidades públicas para gerenciamento de documentos e colaboração interna. A brecha, classificada como “zero-day” por não ter sido previamente catalogada, afeta apenas servidores locais da plataforma e não atinge a versão em nuvem oferecida pela Microsoft. Segundo a empresa, correções de segurança já foram disponibilizadas e a orientação é que todos os administradores instalem as atualizações sem demora.
Levantamento da Eye Security, companhia europeia de cibersegurança que primeiro documentou o problema, indica que aproximadamente 100 organizações já tiveram servidores comprometidos. A Shadowserver Foundation, entidade sem fins lucrativos dedicada ao monitoramento de ameaças na internet, corroborou esse número, mas os nomes dos alvos não foram divulgados.
De acordo com os pesquisadores, os incidentes se concentram sobretudo nos Estados Unidos e na Alemanha, embora também existam registros de invasões no Reino Unido. As categorias afetadas incluem agências federais e estaduais, universidades e empresas relacionadas à geração ou distribuição de energia. A combinação de vítimas sugere a ação de grupos classificados como ameaças persistentes avançadas (APT), normalmente associados a Estados-nação.
A Censys, empresa especializada em inteligência de superfície de ataque, reforça essa hipótese. O pesquisador Silas Cutler informou que os primeiros sinais de exploração mostram um padrão “altamente seletivo”, voltado a instituições governamentais e de infraestrutura crítica. Para ele, a escolha restrita dos alvos deixa pouca dúvida de que os operadores buscam informações sensíveis ou pontos estratégicos dentro de redes públicas.
A autoria ainda não foi oficialmente atribuída. Fontes ouvidas pela agência Reuters disseram que análises internas do Google traçaram, ao menos parcialmente, conexões com atores vinculados à China. Questionada, a embaixada chinesa em Washington não se pronunciou, e Pequim tem o hábito de negar envolvimento em atividades de hacking.
Enquanto a investigação de origem prossegue, especialistas chamam atenção para a dimensão do risco residual. Dados do motor de busca Shodan, usado para mapear dispositivos expostos na internet, revelam que cerca de 10 mil servidores locais do SharePoint permanecem vulneráveis. Entre eles aparecem bancos, hospitais e diversas entidades governamentais espalhadas por vários países, o que amplia a possibilidade de novos incidentes se outras quadrilhas passarem a reproduzir a técnica.
A tendência, segundo Cutler, é que a divulgação pública da falha acelere sua disseminação. Com detalhes já circulando em fóruns especializados, cresce a chance de grupos com menor nível técnico conseguirem replicar o código de exploração. Consequentemente, o impacto sobre setores considerados críticos pode se estender, afetando serviços essenciais e cadeias de suprimentos.
Diante desse cenário, a recomendação das equipes de resposta a incidentes é dupla. Primeiro, aplicar imediatamente o patch disponibilizado pela Microsoft para eliminar a brecha. Em segundo lugar, adotar a premissa de que os sistemas já possam ter sido infiltrados antes da correção. Isso requer a execução de análises forenses, revisão de logs, verificação de integridade de arquivos e segmentação de redes para conter eventuais movimentos laterais dos invasores.
Embora a Microsoft tenha afirmado que o SharePoint Online não está sujeito à vulnerabilidade, organizações que operam versões híbridas — combinando servidores locais e serviços em nuvem — devem revisar as configurações de integração e credenciais compartilhadas. Especialistas lembram que, em casos de APT, os atacantes costumam manter acesso prolongado e silencioso aos ambientes comprometidos, podendo acionar portas de entrada alternativas mesmo depois de aplicado o conserto inicial.
O avanço da exploração dessa falha coloca em evidência a importância de programas contínuos de gestão de vulnerabilidades e resposta rápida. Analistas alertam que a janela entre a descoberta de uma brecha e sua utilização maliciosa tende a encolher, aumentando a pressão sobre equipes de TI em todo o mundo. A rapidez com que a falha do SharePoint foi adotada por agentes avançados reforça a necessidade de monitoramento constante, políticas de atualização ágeis e práticas robustas de backup e recuperação.
