Mais de 511 mil instâncias do Microsoft IIS fora do ciclo de vida expostas online
Uma superfície de ataque massiva envolvendo servidores Microsoft Internet Information Services (IIS) desatualizados foi identificada. Durante os scans diários da rede da Shadowserver em 23 de março de 2026, pesquisadores identificaram mais de 511.000 instâncias do IIS End-of-Life (EOL) ativamente conectadas à internet.
Descoberta e escopo da exposição
Dos 511.000 instâncias expostas do EOL, mais de 227.000 completaram totalmente o período de Atualizações de Segurança Estendidas (ESU) da Microsoft. Isso significa que quase metade desses servidores estão no fim do suporte (EOS) e nunca receberão correções de segurança críticas, mesmo que as organizações paguem por cobertura estendida.
Geograficamente, a exposição está fortemente concentrada em duas grandes regiões globais. China e Estados Unidos atualmente hospedam o maior número dessas instâncias de IIS desatualizadas. A Shadowserver agora marca oficialmente servidores vulneráveis como 'eol-iis' e 'eos-iis' em seus relatórios diários de HTTP vulnerável.
Riscos associados ao fim do suporte
Operar servidores web EOL e EOS aumenta significativamente a suscetibilidade de uma organização a ciberataques. Quando o software atinge o fim de seu ciclo de vida, o fabricante para oficialmente de monitorá-lo em busca de falhas de segurança.
Se uma nova vulnerabilidade zero-day for descoberta em uma versão desatualizada do IIS, a Microsoft não lançará um patch público para corrigi-lo. Atores de ameaças entendem essa dinâmica e constroem ativamente ferramentas automatizadas para detectar e explorar esses sistemas legados específicos.
Impacto e alcance
Servidores web expostos frequentemente servem como o ponto de apoio perfeito para operadores de ransomware e grupos de Ameaças Persistentes Avançadas (APT). Uma vez que um atacante compromete um servidor IIS voltado para o exterior, eles podem pivotar lateralmente para a rede interna, roubar dados sensíveis ou implantar payloads maliciosos.
A exposição de 511.000 instâncias representa um risco sistêmico para a infraestrutura da internet, pois muitos desses servidores podem estar hospedando aplicações críticas para negócios que não são mais seguras para uso em produção.
Setores afetados
Organizações em setores que dependem de servidores web para operações online, como comércio eletrônico, serviços financeiros e governo, estão em risco. A falta de patches de segurança torna esses sistemas alvos fáceis para exploração automatizada.
Empresas que não atualizaram seus servidores para versões suportadas do Windows Server e IIS estão operando com uma vulnerabilidade conhecida e não corrigida. A migração para plataformas modernas é essencial para mitigar esses riscos.
Medidas de mitigação recomendadas
As organizações devem priorizar a identificação e segurança de sua infraestrutura voltada para a internet para prevenir exploração imediata. As equipes de segurança devem seguir etapas cruciais para reduzir sua superfície de ataque efetivamente.
1. Auditar ativos de rede externos para localizar servidores executando versões legadas do Microsoft IIS. 2. Revisar os relatórios de HTTP vulnerável da Shadowserver para identificar IPs expostos associados à organização. 3. Atualizar servidores EOL para versões modernas e suportadas do Windows Server e IIS.
4. Inscrever sistemas no programa de Atualização de Segurança Estendida da Microsoft se uma migração imediata for tecnicamente impossível. 5. Isolar sistemas legados atrás de firewalls de aplicação web robustos e restringir o acesso apenas a endereços IP essenciais.
Implicações regulatórias e LGPD
A exposição de servidores desatualizados pode levar a violações de dados, acionando obrigações de notificação sob a Lei Geral de Proteção de Dados (LGPD). Organizações devem garantir que seus sistemas estejam em conformidade com os padrões de segurança exigidos.
A conformidade com a LGPD exige que as organizações protejam adequadamente os dados pessoais e notifiquem as autoridades e os titulares em caso de incidente de segurança. A manutenção de sistemas desatualizados pode ser vista como negligência na proteção de dados.
O que os CISOs devem fazer imediatamente
Executivos de segurança devem realizar um inventário completo de todos os servidores web expostos e verificar seus estados de suporte. A prioridade deve ser a migração ou isolamento de sistemas que não recebem mais patches de segurança.
Além disso, é recomendável implementar monitoramento contínuo para detectar tentativas de exploração de vulnerabilidades conhecidas em servidores legados. A colaboração com equipes de TI para planejar a atualização é fundamental.
Perguntas frequentes
O que é IIS End-of-Life? Refere-se a versões do Microsoft IIS que não recebem mais atualizações de segurança padrão da Microsoft.
Devo atualizar imediatamente? Sim, a atualização para versões suportadas é a melhor maneira de garantir a segurança dos servidores web.
O que fazer se não puder atualizar? Isolar o servidor atrás de um firewall e inscrevê-lo no programa de atualizações estendidas, se disponível.