Uma falha de segurança – descrita como “tão séria quanto pode surgir” – nos sistemas de e-mail Exchange da Microsoft foi identificada no governo do Reino Unido e nos sistemas de computador das forças policiais. As vulnerabilidades foram reveladas durante uma conferência de segurança de computador no início deste mês, com os hackers aproveitando a oportunidade de explorar a falha para causar o caos.
A Microsoft lançou um patch que corrige a vulnerabilidade, no entanto, mais de 50 por cento dos servidores Microsoft Exchange no Reino Unido não foram atualizados, revelaram os pesquisadores de segurança. Dessa forma, grandes grupos de usuários de e-mail ainda são vulneráveis a hackers.
Entre os que ainda estão abertos a ataques estão vários domínios do governo britânico, gov.uk, bem como o domínio police.uk, usado por forças em toda a Inglaterra, País de Gales e Irlanda do Norte, revelou a Sky News.
Embora seja possível culpar essas organizações por se atrasar com os patches de segurança mais recentes, Kevin Beaumont, um pesquisador de segurança que já trabalhou para a Microsoft no passado, acredita que parte da responsabilidade recai sobre a empresa por trás do software. Beaumont criticou a Microsoft pelo que ele chamou de mensagem “sabidamente horrível” para fazer os clientes atualizarem seus softwares.
Embora o código defeituoso tenha sido corrigido pela Microsoft em abril e maio, a empresa baseada em Redmond falhou em atribuir aos problemas um identificador CVE (Common Vulnerabilities and Exposures) até julho. Essas poucas semanas extras atrasaram os métodos usados pelas organizações para rastrear e atualizar vulnerabilidades.
“Devido ao gerenciamento de vulnerabilidades de muitas organizações via CVE, isso criou uma situação em que os clientes da Microsoft foram mal informados sobre a gravidade de um dos bugs de segurança corporativa mais críticos do ano”, escreveu Beaumont.
Em resposta às críticas, um porta-voz da Microsoft disse: “Lançamos atualizações de segurança para ajudar a manter nossos clientes seguros e protegidos contra essa técnica de ataque. Recomendamos que os clientes adotem uma estratégia para garantir que estejam executando versões de software com suporte e instalem imediatamente as atualizações de segurança o mais rápido possível após cada lançamento de segurança mensal. “