O que é a vulnerabilidade no Microsoft SharePoint

A vulnerabilidade em servidores Microsoft SharePoint on‑premises foi explorada em uma campanha global que atingiu mais de 400 organizações, incluindo a National Nuclear Security Administration (NNSA) dos EUA, agência responsável pelo arsenal nuclear americano.

Como funciona

A campanha começou por volta de 7 de julho de 2025, utilizando falhas coletivamente chamadas de "ToolShell" (CVE‑2025‑53770 / 53771) e variantes conhecidas como CVE‑2025‑49704/49706. Apesar dos patches lançados em 8 de julho, as invasões continuaram devido à eficácia fraca das correções iniciais.

A NNSA foi confirmada como victimada, mas não houve comprometimento de dados confidenciais ou secretos.

Sinais de alerta / Como identificar

• A campanha afetou mais de 400 organizações globais, incluindo diversas agências federais, instituições de saúde e educação, além de governos estaduais e municipais.
• Grupos atribuídos pela Microsoft como responsáveis incluem Linen Typhoon, Violet Typhoon e Storm‑2603, todos com provável ligação ao governo chinês.
• As falhas permitiram roubo de credenciais, execução remota de código, instalação de backdoors e movimento lateral em infraestruturas conectadas.
• A falha de patch inicial e a demora em corrigi-la efetivamente agravaram o alcance da infiltração.

O que fazer agora / Como se proteger

Para mitigar os riscos, é essencial adotar as seguintes práticas:

1. Atualize imediatamente todos os servidores SharePoint on‑prem para as versões mais recentes, incluindo patches emergenciais, e certifique-se de que as correções foram bem aplicadas.
2. Roteie ou renove chaves de máquina, reinicie os serviços afetados e revise logs em busca de comportamentos anômalos.
3. Implemente proteção robusta nos endpoints, incluindo AMSI e Microsoft Defender Antivirus, além de políticas de firewall e segmentação de rede para limitar lateralidade.
4. Realize auditorias de integridade e varredura em sistemas legados que possam estar permanecendo em uso. Desative expor o serviço SharePoint diretamente à internet sem proteção adequada.

Prevenção / Boas práticas

A campanha "ToolShell" expôs a fragilidade de ambientes SharePoint on‑prem não atualizados e a necessidade de revisão contínua das práticas de vulnerabilidade. O ataque à NNSA reforça que até agências críticas podem ser afetadas quando a gestão de patches é falha ou tardia.

Perguntas frequentes

Quais organizações foram afetadas pelo ataque?

Mais de 400 organizações globais foram impactadas, incluindo agências federais, instituições de saúde e educação, e governos estaduais e municipais.

Quais grupos estão por trás da campanha?

Os grupos atribuídos pela Microsoft incluem Linen Typhoon, Violet Typhoon e Storm‑2603, todos com provável ligação ao governo chinês.

O que fazer se minha organização for afetada?

É crucial atualizar servidores imediatamente, revisar logs, implementar proteção robusta e realizar auditorias de segurança para minimizar o impacto.