Servidores Microsoft SharePoint estão sob ataque ativo por uma falha grave de execução remota de código (RCE), identificada como CVE‑2025‑53770. A Microsoft lançou atualizações emergenciais após confirmação de exploração em larga escala, afetando milhares de servidores expostos publicamente
Entenda a falha
A vulnerabilidade permite que atacantes executem código remotamente sem autenticação, explorando uma falha de desserialização de dados em APIs do SharePoint. O CVSS atribuído é 9.8 — altíssimo risco.
Impacto confirmado
Segundo a Tenable, ao menos 75 servidores foram comprometidos, com mais de 9 mil ainda expostos à internet. A campanha, apelidada de “ToolShell”, utiliza arquivos como spinstall0.aspx para manter persistência no ambiente atacado.
Versões afetadas e patches disponíveis
SharePoint Server Subscription Edition: Patch KB5002768
SharePoint Server 2019: Patch KB5002754
SharePoint Server 2016: atualização ainda não disponível, mitigação recomendada.
Ações recomendadas pela Microsoft e CISA
Aplicar os patches imediatamente
Habilitar AMSI + Microsoft Defender Antivirus
Rotacionar machine keys do ASP.NET
Monitorar eventos de criação de arquivos e requisições suspeitas, como POSTs para ToolPane.aspx?DisplayMode=Edit
Dica de prevenção
Atualização prioritária: mantenha SharePoint sempre com os patches mais recentes.
Isolamento emergencial: se não for possível aplicar o patch, desconecte o servidor da internet.
Monitoramento contínuo: configure alertas para mudanças em arquivos críticos e acesso a APIs administrativas.
A CVE‑2025‑53770 reforça que ambientes on‑premises exigem atenção constante. Atualizações imediatas, políticas de detecção e uma resposta coordenada são fundamentais para mitigar riscos em infraestruturas críticas.
🔒 Conte com a LC SEC para proteger seu ambiente Microsoft com estratégias completas de segurança, resposta a incidentes e conformidade. Saiba mais em: lcsec.io