Menu Mobile
Voltar ao início do blog

Agência nuclear dos EUA é invadida via falhas no Microsoft SharePoint

A vulnerabilidade em servidores Microsoft SharePoint on‑premises foi explorada em uma campanha global que atingiu mais de 400 organizações, incluindo a National Nuclear Security Administration (NNSA) dos EUA, agência responsável pelo arsenal nuclear americano

Ataques começaram por volta de 7 de julho de 2025, aproveitando falhas coletivamente chamadas de "ToolShell" (CVE‑2025‑53770 / 53771) e também variantes já conhecidas como CVE‑2025‑49704/49706. Apesar dos patches iniciais lançados em 8 de julho, invasões continuaram devido à eficácia fraca das correções iniciais . A NNSA foi confirmada como victimada, sem indicação de comprometimento de dados confidenciais ou secretos

  • A campanha afetou mais de 400 organizações globais, incluindo diversas agências federais nos EUA, instituições de saúde e educação, governos estaduais e municipais 

  • Grupos atribuídos pela Microsoft como responsáveis incluem Linen Typhoon, Violet Typhoon e Storm‑2603, todos com provável ligação ao governo chinês 

  • As falhas permitiram roubo de credenciais, execução remota de código, instalação de backdoors e movimento lateral em infraestruturas conectadas 

  • A falha de patch inicial e a demora em corrigi-la efetivamente agravaram o alcance da infiltração

Dica de prevenção

  • Atualize imediatamente todos os servidores SharePoint on‑prem para as versões mais recentes, incluindo patches emergenciais, e certifique-se de que as correções foram bem aplicadas.

  • Roteie ou renove chaves de máquina (machine keys), reinicie os serviços afetados e revise logs em busca de comportamentos anômalos.

  • Implemente proteção robusta nos endpoints, incluindo AMSI e Microsoft Defender Antivirus, além de políticas de firewall e segmentação de rede para limitar lateralidade.

  • Realize auditorias de integridade e varredura em sistemas legados que possam estar permanecendo em uso. Desative expor o serviço SharePoint diretamente à internet sem proteção adequada.

A campanha "ToolShell" expôs a fragilidade de ambientes SharePoint on‑prem não atualizados e a necessidade de revisão contínua das práticas de vulnerabilidade. O ataque à NNSA reforça que até agências críticas podem ser afetadas quando a gestão de patches é falha ou tardia.

A LC SEC oferece serviços de gestão de vulnerabilidades, auditoria de infraestrutura, resposta a incidentes e apoio na proteção de sistemas críticos. Conte com nossa expertise para revisar sua segurança e mitigar riscos reais. Saiba mais em lcsec.io

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

12 de Junho de 2025

Mais de 80 mil contas Microsoft Entra ID comprometidas
28 de Maio de 2025

Microsoft quer atualizar todos os seus programas automaticamente
28 de Maio de 2025

Microsoft lança nova ferramenta de backup para empresas no Windows