Sharepoint

Uma nova pesquisa da Entro Labs revelou uma vulnerabilidade crítica na funcionalidade de auto-sincronização do OneDrive da Microsoft, que está expondo segredos empresariais em larga escala. O estudo indica que um em cada cinco segredos expostos em ambientes corporativos provém do SharePoint, não por meio de ataques sofisticados, mas devido a uma configuração padrão do OneDrive que move automaticamente arquivos locais contendo credenciais sensíveis para repositórios na nuvem. A falha de segurança está relacionada ao recurso Known Folder Move (KFM), que sincroniza pastas críticas do usuário, como Desktop e Documentos, para o OneDrive. Isso resulta em uma exposição inadvertida de arquivos que deveriam ser mantidos localmente, tornando-os acessíveis a administradores e contas potencialmente comprometidas. A pesquisa também destaca que a maioria dos arquivos expostos são planilhas, representando mais de 50% dos segredos, seguidas por arquivos de texto e scripts. A situação é agravada pela ativação padrão do OneDrive em sistemas Windows 10/11, que pode levar usuários a fazer backup de arquivos sensíveis sem perceber. Para mitigar esses riscos, as equipes de segurança devem aumentar a conscientização sobre o comportamento de auto-sincronização e considerar desativar o KFM onde não for necessário.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.

A Microsoft decidiu restringir o acesso de algumas empresas chinesas ao seu sistema de alerta antecipado sobre vulnerabilidades cibernéticas, conhecido como MAPP (Microsoft Active Protections Program). Essa decisão foi tomada após uma série de ataques que exploraram falhas na plataforma SharePoint da empresa, afetando até 400 organizações. Suspeitas de envolvimento do governo chinês nos ataques levaram a Microsoft a acreditar que houve um vazamento de informações dentro do programa MAPP, que é utilizado para alertar empresas de segurança sobre ameaças e permitir que elas se preparem para possíveis ataques. As vulnerabilidades já foram corrigidas, mas foram utilizadas anteriormente para implantar ransomware, permitindo que atacantes extraíssem chaves criptográficas de servidores da Microsoft. A empresa confirmou que não enviará mais códigos de prova de conceito para empresas chinesas, uma medida que visa evitar que informações sobre as defesas dos sistemas sejam usadas por atacantes. A Microsoft continua a revisar os participantes do MAPP e pode suspender ou remover aqueles que violarem os termos do contrato, que proíbe a participação em ataques ofensivos.