Microsoft lança patches de emergência para falhas do SharePoint

22/07/2025 mindsecblog Notícias 0

Microsoft lança patches de emergência para falhas do SharePoint RCE exploradas em ataques.

A Microsoft lançou atualizações de segurança de emergência do SharePoint para duas vulnerabilidades de dia zero rastreadas como CVE-2025-53770 e CVE-2025-53771 que comprometeram serviços em todo o mundo em ataques “ToolShell”.

Em maio, durante o concurso de hackers Pwn2Own de Berlim , pesquisadores exploraram uma cadeia de vulnerabilidades de dia zero chamada “ToolShell”, que permitiu a execução remota de código no Microsoft SharePoint.

Essas falhas foram corrigidas como parte das atualizações do Patch Tuesday de julho ; no entanto, os cibercriminosos conseguiram descobrir duas vulnerabilidades de dia zero que contornaram os patches da Microsoft para as falhas anteriores.

Usando essas falhas, os cibercriminosos têm conduzido ataques do ToolShell em servidores SharePoint no mundo todo , afetando mais de 54 organizações até agora.

Atualizações de emergência divulgadas

A Microsoft lançou atualizações de segurança emergenciais fora de banda para o Microsoft SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 que corrigem as falhas CVE-2025-53770 e CVE-2025-53771 .

“Sim, a atualização para CVE-2025-53770 inclui proteções mais robustas do que a atualização para CVE-2025-49704. A atualização para CVE-2025-53771 inclui proteções mais robustas do que a atualização para CVE-2025-49706”, diz uma nota nos avisos da Microsoft.

Os administradores do Microsoft SharePoint devem instalar as seguintes atualizações de segurança imediatamente, dependendo da versão:

  • Atualização KB5002754 para o Microsoft SharePoint Server 2019 Core e KB5002753 para o Microsoft SharePoint Server 2019 Language Pack.
  • Atualização KB5002760 para o Microsoft SharePoint Enterprise Server 2016 e KB5002759 para o Microsoft SharePoint Enterprise Server 2016 Language Pack.
  • Atualização KB5002768 para o Microsoft SharePoint Subscription Edition.

Após instalar as atualizações, a Microsoft recomenda que os administradores girem as chaves da máquina do SharePoint seguindo as seguintes etapas:

Os administradores do SharePoint podem rotacionar chaves de máquina usando um dos dois métodos abaixo:

Manualmente via PowerShell

Para atualizar as chaves de máquina de um aplicativo Web usando o PowerShell e implantá-las em um farm do SharePoint:

  1. Gere a chave da máquina no PowerShell usando  Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
  2. Implante a chave da máquina no farm no PowerShell usando  Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.

Manualmente via Administração Central

Acione o trabalho do temporizador de rotação da chave da máquina executando as seguintes etapas:

  1. Navegue até o site da Administração Central .
  2. Vá para Monitoramento -> Revisar definição de tarefa.
  3. Pesquise por Machine Key Rotation Job e selecione Executar agora.
  4. Após a conclusão da rotação, reinicie o IIS em todos os servidores SharePoint usando iisreset.exe.

Também é aconselhável analisar seus logs e sistema de arquivos para detectar a presença de arquivos maliciosos ou tentativas de exploração.

Isso inclui: 

  • Criação do arquivo C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx.
  • Logs do IIS mostrando uma solicitação POST para _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx e um referenciador HTTP de _layouts/SignOut.aspx.

A Microsoft compartilhou a seguinte consulta do Microsoft 365 Defender para verificar se o arquivo spinstall0.aspx foi criado no seu servidor.

eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc

Se o arquivo existir, uma investigação completa deverá ser conduzida no servidor violado e na sua rede para garantir que os agentes da ameaça não se espalharam para outros dispositivos.

Fonte: BleepingComputer

Veja também:

About mindsecblog 3110 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

36,5mi usuários Teriam sido afetado por Malware escondidos na Google Play Store

29/05/2017 mindsecblog Notícias 0

No dia 25/05 a Checkpoint anunciou em seu blog que mais de 36,5 milhões de aparelhos Android teriam sido infectados devido a um malware desenvolvido e distribuído por “empresas” Coreanas. Os malwares descobertos teriam o […]

LGPD & PRIVACY

Contas do Internet Banking do HSBC-US são violadas por hackers

08/11/2018 mindsecblog LGPD & PRIVACY, Notícias 2

Contas do Internet Banking do HSBC-US são violadas por hackers. O HSBC disse que algumas das contas bancárias de seus clientes nos EUA foram invadidas em outubro. “O HSBC lamenta esse incidente e assumimos nossa […]

Notícias

Cloudflare hackeado

08/02/2024 mindsecblog Notícias 4

Cloudflare hackeado por suposto ator de ameaça patrocinado pelo Estado.  A empresa de segurança da Web Cloudflare revelou dia 01 de fevereiro que um agente de ameaça usou credenciais roubadas para obter acesso a alguns […]

Be the first to comment

Deixe sua opinião!