No último domingo, 20 de julho, a Microsoft lançou uma atualização de segurança emergencial para corrigir uma vulnerabilidade crítica no SharePoint Server. A falha, identificada como CVE-2025-53770, vinha sendo explorada ativamente por cibercriminosos para invadir redes de agências governamentais, universidades e empresas do setor de energia nos Estados Unidos.
O que está acontecendo?
Segundo a própria Microsoft, a falha afeta apenas servidores locais do SharePoint — ou seja, aqueles que empresas mantêm internamente. Usuários do SharePoint Online e do Microsoft 365 não estão expostos a esse risco.
Mesmo assim, o impacto é preocupante. O governo dos EUA, junto com autoridades do Canadá e da Austrália, está investigando os ataques, após relatos de que ao menos duas agências federais foram comprometidas.
Como os ataques funcionam?
Pesquisadores descobriram que os invasores estão utilizando um tipo de backdoor apelidado de ToolShell "Ferxill", que garante acesso remoto e não autenticado aos servidores vulneráveis. Com isso, os criminosos conseguem visualizar documentos, alterar configurações e até executar código à distância — um controle quase total.
O grupo Eye Security foi o primeiro a detectar os ataques em larga escala, em 18 de julho, e rapidamente encontrou dezenas de servidores comprometidos. Um dos alvos principais dos criminosos são as chaves de máquina ASP.NET, que, se roubadas, podem ser utilizadas para novos ataques no futuro.
🛠 Atenção, administradores: Aplicar a correção não é suficiente. É essencial trocar as chaves de máquina ASP.NET e reiniciar o serviço IIS nos servidores afetados.
Atualizações e recomendações
A Microsoft já liberou atualizações para as versões SharePoint Server Subscription Edition e SharePoint Server 2019, mas ainda está trabalhando em correções para outras versões com suporte, incluindo o SharePoint 2016.
Enquanto isso, a Agência de Segurança Cibernética dos EUA (CISA) orienta as organizações a:
-
Ativar a interface de verificação antimalware (AMSI) no SharePoint
-
Usar o Microsoft Defender Antivirus em todos os servidores
-
Desconectar os servidores da internet até que as atualizações estejam 100% aplicadas
Outras vulnerabilidades em jogo
Esse ataque faz parte de uma cadeia de exploração maior, que já vinha sendo observada desde maio de 2025 durante a competição de hackers Pwn2Own. Além do CVE-2025-53770, outras falhas como a CVE-2025-49704 e CVE-2025-49706 também foram exploradas e parcialmente corrigidas — mas não de forma definitiva.
Para reforçar a segurança, a Microsoft também lançou um patch para outra vulnerabilidade relacionada, a CVE-2025-53771. Apesar de não haver indícios de ataques explorando essa nova falha, ela representa uma camada extra de proteção.
O que fazer agora?
Se sua organização utiliza o SharePoint Server localmente, o momento de agir é agora:
-
Verifique se sua versão está atualizada com os últimos patches.
-
Gire as chaves ASP.NET.
-
Reinicie o IIS.
-
Fortaleça sua proteção com antivírus e AMSI.
A ameaça é real, está ativa e se espalha rapidamente. A prevenção precisa ser imediata.
O artigo "Microsoft Fix Targets Attacks on SharePoint Zero-Day" foi escrito por Brian Krebs no site Krebs On Security.
Disponível em: https://krebsonsecurity.com/2025/07/microsoft-fix-targets-attacks-on-sharepoint-zero-day/
