A Microsoft confirmou hoje uma falha zero-day grave no SharePoint on-premises, já explorada ativamente em ambientes corporativos e governamentais. A vulnerabilidade, identificada como CVE-2025-53770, permite execução remota de código, acesso a dados sensíveis, exfiltração de chaves criptográficas e persistência mesmo após o patch.
Pesquisadores identificaram mais de 8 mil servidores expostos publicamente, com evidências de ataques em massa utilizando o mesmo payload. O ataque é automatizado, oportunista e silencioso, atingindo alvos indiscriminadamente, sem depender de interação do usuário.
A exploração ocorre por meio de uma falha de desserialização, permitindo que o invasor implante uma backdoor conhecida como ToolShell. Essa ferramenta oferece controle total do servidor afetado, inclusive em ambientes que já aplicaram o patch, mas não executaram ações complementares.
A Microsoft disponibilizou correções para algumas versões do SharePoint Server, mas a versão 2016 permanece sem correção oficial. A recomendação imediata é:
-
Aplicar os patches disponíveis
-
Isolar servidores não atualizados
-
Ativar o AMSI e soluções como Defender for Endpoint
-
Realizar auditoria completa de logs e rotação de credenciais
Agências como FBI, CISA e NCSC já estão mobilizadas. No entanto, especialistas alertam que aplicar o patch não é o suficiente, pois muitas vezes o ambiente já foi comprometido anteriormente.
Essa é mais uma prova de que quem depende apenas de antivírus, firewall ou soluções defensivas está completamente vulnerável. A cibersegurança ofensiva precisa ser tratada com a mesma prioridade de qualquer processo crítico da empresa.” comenta Andrew Martinez, CEO da HackerSec.
A falha escancara o risco de confiar apenas em tecnologias passivas. A única forma de realmente proteger ambientes críticos é colocar suas defesas à prova continuamente, com visibilidade ofensiva da superfície de ataque e validação real de exploração, não simulações.
