A Microsoft lançou atualizações de segurança de emergência para corrigir uma vulnerabilidade crítica em seu SharePoint Server local, alertando que a falha está sendo explorada atualmente na natureza. A empresa de tecnologia também divulgou um segundo, vulnerabilidade relacionada.
Falha crítica CVE-2025-53770 permite execução remota de código
CVE-2025-53770 é um problema crítico de segurança com uma pontuação CVSS de 9.8. A falha decorre da desserialização insegura de dados não confiáveis, o que pode permitir que os invasores executar código remoto em servidores SharePoint vulneráveis. Parece que apenas as instalações locais são propensas à vulnerabilidade, com o SharePoint Online permanecendo inalterado.
Esta vulnerabilidade é considerada uma variante do CVE-2025-49706, parte de uma cadeia de exploração previamente conhecida, denominada ToolShell, que a Microsoft corrigiu no início deste mês.
CVE-2025-53771 Vulnerabilidade adicional de spoofing divulgada
Junto com a questão crítica, A Microsoft também revelou um segundo bug, CVE-2025-53771 com pontuação CVSS de 6.3, que envolve uma fraqueza de travessia de caminho que pode permitir que invasores autenticados falsifiquem conteúdo na rede. Esta falha, também, afeta apenas versões auto-hospedadas do SharePoint e foi relatado privadamente por um pesquisador de segurança não identificado.
Tanto o CVE-2025-53770 quanto o CVE-2025-53771 estão vinculados a bugs corrigidos anteriormente (CVE-2025-49704 e CVE-2025-49706) e agora receberam atualizações mais abrangentes para mitigar o risco de exploração.
Âmbito dos ataques
A empresa de segurança cibernética Eye Security confirmou que pelo menos 54 organizações, incluindo bancos, universidades, e agências governamentais, já foram vítimas desta campanha de ataque em curso. Acredita-se que a atividade de exploração tenha começado por volta de julho 18, sistemas de segmentação expostos à internet.
CVE-2025-53770 foi adicionado ao Vulnerabilidades exploradas conhecidas (KEV) Catálogo pelos EUA. Agência de Segurança Cibernética e Infraestrutura (CISA), que está instando todas as agências do Poder Executivo Civil Federal a aplicar os patches necessários até julho 21.
Por que aplicar patches não é suficiente
Especialistas em segurança enfatizam que a aplicação de patches é apenas uma parte da solução. De acordo com a Unidade de Redes da Palo Alto 42, os invasores estão ignorando a autenticação multifator (MFA) e login único (SSO) sistemas para obter acesso privilegiado. Uma vez dentro, eles estão exfiltrando dados, instalando malware persistente, e roubar chaves de criptografia, representando uma ameaça maior ao ecossistema da Microsoft.
Unidade 42 alertou que as organizações devem assumir o comprometimento se estiverem executando servidores SharePoint voltados para a Internet. Dada a profunda integração do SharePoint com serviços como o Office, Equipes, onedrive, e Outlook, qualquer violação pode conceder aos invasores acesso aos dados mais confidenciais de uma organização.
Eles também enfatizaram que desconectar instâncias vulneráveis do SharePoint da Internet pode ser necessário como uma medida de defesa imediata.
Ações recomendadas para clientes
Para reduzir riscos e minimizar danos potenciais, Microsoft aconselha organizações a tomarem as seguintes medidas:
- Atualizar todos os servidores SharePoint 2016, 2019, e instalações da Subscription Edition
- Aplique as atualizações de segurança mais recentes para o SharePoint
- Ativar interface de verificação antimalware (AMSI) e defina-o para o Modo Completo
- Utilize o Microsoft Defender for Endpoint ou outra solução EDR comparável
- Gire as chaves da máquina ASP.NET e reinicie o IIS em todos os servidores SharePoint após a aplicação do patch
Nos casos em que o AMSI não pode ser habilitado, A Microsoft recomenda fortemente a rotação das chaves da máquina após a atualização como uma etapa crucial.
Versões corrigidas
As versões a seguir incluem as proteções mais recentes:
- Servidor Microsoft SharePoint 2019 (16.0.10417.20027)
- Servidor Corporativo do SharePoint 2016 (16.0.5508.1000)
- Edição de assinatura do SharePoint Server
- Servidor SharePoint 2019 Testemunho
- Servidor SharePoint 2016 (atualização pendente)
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: