O governo Biden publicou na sexta-feira dia 12 um alerta avisando a todas as organizações norte-americanas de que existem enormes riscos com as vulnerabilidades do Microsoft Exchange. Elas afetam milhares de organizações civis e governamentais e crescem à medida em que o tempo passa atingindo servidores ainda não atualizados. O intervalo de tempo para atualizar os servidores expostos é incrivelmente curta – “medida em horas, não em dias”, disse um alto funcionário da administração a repórteres na sexta-feira. O presidente Joe Biden está informado sobre os problemas do Exchange desde o início da semana passada, disse o funcionário.
Especialistas da Palo Alto Networks estimaram na quinta-feira que pelo menos 20.000 servidores Exchange baseados nos EUA continuam sem correção e vulneráveis à exploração, e somam 80.000 em todo o mundo.
As agências de inteligência dos EUA não pretendem acrescentar nenhuma autoridade legal extra para monitorar os incidentes de segurança cibernética doméstica, acrescentou o funcionário. Segundo ele, o governo Biden acredita que as parcerias público-privadas são o modelo ideal para detectar e mitigar ameaças à segurança cibernética. Com este incidente, pela primeira vez o governo dos Estados Unidos convidou membros do setor privado para participarem da força-tarefa criada para responder às falhas do Exchange, disse o funcionário. Entidades privadas terão acesso a instalações onde haja informações confidenciais em todo o país, para participar de discussões confidenciais quando necessário, acrescentou o funcionário.
Veja isso
Vulnerabilidades e novos ataques elevam risco em servidores Exchange
Mais de 10 grupos APT estão explorando as falhas do Microsoft Exchange
Jake Sullivan, assessor de segurança nacional, disse na sexta-feira que por enquanto a Casa Branca não está preparada para atribuir a culpa a ninguém pelos ataques ao Microsoft Exchange. “Mas garantimos a vocês que estaremos em posição de atribuir esse ataque em algum momento no futuro próximo, e não vamos esconder o problema. Vamos avançar e dizer quem acreditamos que fez o ataque”.
Em poucas semanas, disse o funcionário, a Casa Branca lançará uma ação executiva que inclui ideias para reforçar a segurança cibernética do país, incluindo propostas para atribuir classificações de segurança cibernética com letras a fornecedores de software usados pelo governo federal. A ideia se inspira nas qualidades de saneamento para restaurantes do prefeito Michael Bloomberg. Outro conceito se baseia nos padrões de segurança cibernética de Cingapura para dispositivos de consumo conectados à Internet. O objetivo, disse o funcionário, é criar um “mercado” para a segurança cibernética, onde as empresas competiriam por classificações de alta segurança.
Com agências internacionais