O que é a falha crítica no SharePoint

Servidores Microsoft SharePoint estão sob ataque ativo por uma falha grave de execução remota de código (RCE), identificada como CVE‑2025‑53770. A Microsoft lançou atualizações emergenciais após confirmação de exploração em larga escala, afetando milhares de servidores expostos publicamente.

Como funciona

A vulnerabilidade permite que atacantes executem código remotamente sem autenticação, explorando uma falha de desserialização de dados em APIs do SharePoint. O CVSS atribuído é 9.8 — altíssimo risco.

Sinais de alerta / Como identificar

1. Impacto confirmado: Segundo a Tenable, ao menos 75 servidores foram comprometidos, com mais de 9 mil ainda expostos à internet. A campanha, apelidada de “ToolShell”, utiliza arquivos como spinstall0.aspx para manter persistência no ambiente atacado.
2. Versões afetadas e patches disponíveis:
   • SharePoint Server Subscription Edition: Patch KB5002768
   • SharePoint Server 2019: Patch KB5002754
   • SharePoint Server 2016: atualização ainda não disponível, mitigação recomendada.

O que fazer agora / Como se proteger

Ações recomendadas pela Microsoft e CISA:

• Aplicar os patches imediatamente.
• Habilitar AMSI + Microsoft Defender Antivirus.
• Rotacionar machine keys do ASP.NET.
• Monitorar eventos de criação de arquivos e requisições suspeitas, como POSTs para ToolPane.aspx?DisplayMode=Edit.

Prevenção / Boas práticas

Dica de prevenção:

• Atualização prioritária: mantenha SharePoint sempre com os patches mais recentes.
• Isolamento emergencial: se não for possível aplicar o patch, desconecte o servidor da internet.
• Monitoramento contínuo: configure alertas para mudanças em arquivos críticos e acesso a APIs administrativas.

A CVE‑2025‑53770 reforça que ambientes on-premises exigem atenção constante. Atualizações imediatas, políticas de detecção e uma resposta coordenada são fundamentais para mitigar riscos em infraestruturas críticas.