Alerta Global com Vulnerabilidades Críticas no Microsoft SharePoint
Nos últimos meses, o Microsoft SharePoint, uma das plataformas mais utilizadas para colaboração empresarial e gerenciamento documental, tornou-se um dos principais pontos de preocupação em cibersegurança. Campanhas massivas de exploração de vulnerabilidades críticas resultaram na compromissão de milhares de servidores ao redor do mundo, afetando desde grandes corporações a instituições financeiras e de saúde.
A situação é considerada crítica por especialistas da área, levando a Microsoft a lançar atualizações de emergência. Entretanto, essas medidas ainda se mostraram insuficientes para conter os ataques que já estão em andamento.
Um dos principais pontos de origem deste problema foi a revelação de uma cadeia de vulnerabilidades críticas em maio de 2025, durante o evento Pwn2Own em Berlim. Conhecidas como ‘ToolShell’, as falhas CVE-2025-49704 e CVE-2025-49706 permitem a execução remota de código sem autenticação, levando a Microsoft a reconhecer a gravidade do problema e emitir correções em julho.
Entretanto, somente no último final de semana, foi confirmado que esses patches não eram eficazes. Campanhas de ciberataques conseguiram eludir as defesas e instalar backdoors como spinstall0.aspx, permitindo o roubo de credenciais e controle completo dos servidores comprometidos, que foram registrados como CVE-2025-53770 e CVE-2025-53771.
Dados da Censys e da Eye Security indicam que mais de 9.700 servidores SharePoint on-premise estão expostos online, com um mínimo de 400 já comprometidos entre 17 e 21 de julho de 2025. Isso inclui a Administração Nacional de Segurança Nuclear dos EUA, embora não haja evidências públicas de vazamento de informações sensíveis.
A Microsoft acredita que grupos de ciberespionagem associados ao governo chinês, nomeadamente Linen Typhoon, Violet Typhoon e Storm-2603, estão por trás da exploração dessas vulnerabilidades. O Ministério das Relações Exteriores da China negou as acusações, chamando-as de infundadas.
Uma das principais preocupações trazidas por esta campanha de ataques é a possibilidade de acesso persistente após a aplicação dos patches, devido ao roubo de chaves internas que permitem gerar tokens válidos. Especialistas da watchTowr Labs enfatizam que medidas como a ativação do AMSI (Interface de Análise Antimalware) não são suficientes e que é essencial renovar chaves criptográficas e reiniciar todos os servidores afetados.
Microsoft e a Agência de Cibersegurança e Infraestrutura dos EUA (CISA) emitiram recomendações urgentes para mitigar os riscos. As organizações afetadas devem aplicar os patches mais recentes, rotacionar chaves e buscar indicadores de compromisso imediatamente.
Diante desse cenário preocupante, especialistas alertam que este incidente destaca a vulnerabilidade dos sistemas on-premise e a eficácia questionável de soluções rápidas frente a ameaças sofisticadas. A mensagem é clara: as empresas devem agir rapidamente para evitar compromissos sérios na integridade de seus sistemas e dados.
