O que é a ameaça no SharePoint

Nesta semana, órgãos de segurança dos EUA e a Microsoft emitiram alertas urgentes sobre falhas críticas no Microsoft SharePoint Server on-premises. Explorações têm sido usadas por grupos chineses para comprometer servidores, roubando chaves de criptografia e criando acesso persistente.

Como funciona

1. CISA exige correção imediata:

   Em 22 de julho de 2025, a agência CISA incluiu as vulnerabilidades CVE‑2025‑49704 e CVE‑2025‑49706 em sua lista de “Known Exploited Vulnerabilities”. Estados federais dos EUA devem aplicar correções até 23 de julho de 2025.

2. Explorações ativas desde 7 de julho:

   Desde pelo menos 7 de julho, grupos chineses como Linen Typhoon, Violet Typhoon e Storm-2603 têm explorado sucessivamente essas falhas, conhecidas coletivamente como "ToolShell", para implantar web shells e extrair MachineKeys em servidores locais.

3. Microsoft confirma ação coordenada:

   A Microsoft rastreou os ataques a três grupos chineses que visam sistemas SharePoint locais conectados à internet e lançou patches atualizados para as vulnerabilidades, incluindo variantes mais robustas como CVE‑2025‑53770.

4. Como os ataques funcionam:

   A cadeia de exploração envolve burlas de autenticação, deserialização insegura e execução remota de código. Após isso, os invasores roubam MachineKeys para implantar shells web e garantir persistência e movimentação lateral.

Sinais de alerta / Como identificar

As falhas críticas em servidores SharePoint locais estão sendo exploradas ativamente, com impacto significativo em agências e empresas globais. A recomendação dos órgãos de segurança e da Microsoft é clara: aplicar os patches mais recentes imediatamente, ativar proteções e monitorar atentamente seus ambientes.

O que fazer agora / Como se proteger

1. Atualize imediatamente os servidores SharePoint locais com os patches lançados em julho de 2025 (incluindo variantes CVE‑2025‑53770/53771).
2. Habilite AMSI e Antivírus — a partir de 2023, o AMSI está ativado por padrão, mas é crucial garantir que o Defender esteja ativo.
3. Se não for possível aplicar o patch de imediato, desconecte o servidor da internet até a atualização estar disponível.
4. Utilize Microsoft Defender for Endpoint (ou soluções equivalentes) para identificar e bloquear comportamentos de pós-exploração e shells maliciosos.

Prevenção / Boas práticas

Proteja sua organização de forma proativa. A recomendação é clara: implemente as medidas de segurança necessárias e mantenha seus sistemas sempre atualizados.

Perguntas frequentes

Quais são as vulnerabilidades críticas no SharePoint?

As vulnerabilidades críticas identificadas são CVE‑2025‑49704 e CVE‑2025‑49706, que foram adicionadas à lista de "Known Exploited Vulnerabilities" pela CISA.

Quem está explorando essas falhas?

Grupos chineses como Linen Typhoon, Violet Typhoon e Storm-2603 estão explorando ativamente essas vulnerabilidades.

Quais são os passos imediatos a serem tomados?

Atualizar servidores com os patches mais recentes e habilitar proteções como AMSI e Antivírus são passos cruciais.

Como posso identificar se meu servidor foi comprometido?

Utilizar ferramentas como o Microsoft Defender for Endpoint pode ajudar a detectar comportamentos de pós-exploração e shells maliciosos.