Uma investigação recente revelou que a Microsoft empregava engenheiros da China para manter e apoiar o software do SharePoint, a mesma plataforma de colaboração recentemente comprometida por hackers chineses patrocinados pelo Estado.
Essa revelação levanta preocupações significativas sobre as práticas de segurança cibernética e possíveis ameaças privilegiadas em sistemas críticos de infraestrutura usados por centenas de agências governamentais e empresas privadas.
O incidente de segurança cibernética, que a Microsoft divulgou no mês passado, envolveu ataques sofisticados às instalações do SharePoint “Onprem”, começando em 7 de julho de 2025.
Os hackers chineses exploraram com sucesso as vulnerabilidades na versão local do SharePoint, obtendo acesso não autorizado a sistemas de computadores em vários alvos de alto perfil, incluindo a Administração Nacional de Segurança Nuclear e o Departamento de Segurança Homeland.
O ataque demonstrou recursos avançados de ameaça persistente, com hackers mantendo o acesso mesmo após o patch de segurança inicial da Microsoft em 8 de julho.
Os analistas do ProPublica identificaram a estrutura operacional relativa por meio de capturas de tela internas do sistema de rastreamento de trabalho da Microsoft, revelando que as equipes de engenharia da China foram responsáveis pela manutenção do SharePoint e correções de bugs por vários anos.
Essa descoberta acrescenta uma dimensão preocupante à violação de segurança, pois o mesmo pessoal encarregado de manter a integridade do software pode ter criado inadvertidamente vulnerabilidades que os adversários poderiam explorar.
O escopo técnico da vulnerabilidade foi extenso, com a agência de segurança de segurança cibernética e infraestrutura dos EUA confirmando que as façanhas permitiram que os invasores “acessem totalmente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas, e executassem código na rede”.
O vetor de ataque permitiu a execução do código remoto, concedendo efetivamente privilégios administrativos de hackers sobre sistemas comprometidos.
Mecanismos de persistência e evasão
A exploração do SharePoint demonstrou táticas sofisticadas de persistência que permitiram aos atacantes manter o acesso, mesmo após os esforços iniciais de remediação.
Quando a Microsoft lançou o primeiro patch de segurança em 8 de julho, os atores da ameaça rapidamente adaptaram seus métodos para ignorar as novas proteções, forçando a empresa a desenvolver “proteções mais robustas” adicionais em patches subsequentes.
O mecanismo de persistência provavelmente envolveu a incorporação de código malicioso nos arquivos de configuração do SharePoint e alavancando os extensos recursos de acesso ao sistema de arquivos da plataforma.
Os invasores podem estabelecer backdoors modificando os módulos de autenticação ou criando contas administrativas ocultas dentro da infraestrutura do SharePoint. Essa abordagem permitiu o acesso sustentado a dados corporativos e sensíveis ao governo, permanecendo não detectados pelas ferramentas padrão de monitoramento de segurança.
A Microsoft reconheceu as implicações de segurança e anunciou planos de realocar operações de apoio baseadas na China para locais alternativos.
A Companhia enfatizou que todo o trabalho foi realizado sob supervisão baseada nos EUA com revisões obrigatórias de segurança, embora os especialistas questionem se essas medidas de supervisão mitigam adequadamente os riscos inerentes ao pessoal estrangeiro que lida com a manutenção sensível do sistema.
Aumente seu SoC e ajude sua equipe a proteger sua empresa com inteligência de ameaças de primeira linha: solicite um teste premium de pesquisa.
