Microsoft vincula ataques ao SharePoint a hackers chineses

22/07/2025 mindsecblog Notícias 0

Microsoft vincula ataques ao SharePoint a hackers chineses.

Vários grupos de hackers com vínculos com o governo chinês foram associados a uma onda recente de ataques generalizados direcionados a uma cadeia de vulnerabilidades de dia zero do Microsoft SharePoint.

Eles usaram essa cadeia de exploração (chamada de “ToolShell”) para invadir dezenas de organizações no mundo todo após invadir seus servidores SharePoint locais.

“Avaliamos que pelo menos um dos agentes responsáveis por essa exploração inicial é um agente de ameaça com vínculo com a China. É fundamental entender que vários agentes estão explorando ativamente essa vulnerabilidade”, disse Charles Carmakal, CTO da Mandiant Consulting, do Google Cloud.

“A Microsoft observou dois agentes estatais chineses, o Linen Typhoon e o Violet Typhoon, explorando essas vulnerabilidades visando servidores SharePoint com acesso à internet”, acrescentou a Microsoft em um relatório na terça-feira. “Além disso, observamos outro agente de ameaça baseado na China, identificado como Storm-2603, explorando essas vulnerabilidades. As investigações sobre outros agentes que também utilizam essas vulnerabilidades ainda estão em andamento.”

Na sexta-feira, a empresa holandesa de segurança cibernética Eye Security identificou pela primeira vez ataques de dia zero explorando as vulnerabilidades CVE-2025-49706 e CVE-2025-49704 (demonstradas pela primeira vez durante o concurso de hackers Pwn2Own em Berlim pelos pesquisadores da Viettel Cyber Security).

A empresa disse que pelo menos 54 organizações já foram comprometidas, incluindo diversas empresas multinacionais e entidades governamentais nacionais.

A empresa de segurança cibernética Check Point também revelou ontem que descobriu os primeiros sinais de exploração em 7 de julho , acrescentando que os invasores tinham como alvo dezenas de entidades nos setores governamental, de telecomunicações e de software na América do Norte e na Europa Ocidental.

A Microsoft corrigiu as duas falhas como parte das atualizações do Patch Tuesday de julho e atribuiu dois novos IDs de CVE (CVE-2025-53770 e CVE-2025-53771) durante o fim de semana para ataques de dia zero usados por agentes de ameaças para comprometer servidores SharePoint totalmente corrigidos. Desde então, a empresa lançou patches de emergência para o SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 para corrigir ambas as falhas de RCE.

Exploração de PoC agora disponível

Esta semana, depois que a Microsoft lançou patches de segurança para todas as versões afetadas do SharePoint, um exploit de prova de conceito CVE-2025-53770 também foi lançado no GitHub, facilitando a participação de mais agentes de ameaças e grupos de hackers em ataques em andamento.

A CISA também adicionou a vulnerabilidade de execução remota de código CVE-2025-53770 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que as agências federais apliquem patches um dia após seu lançamento.

“Essa atividade de exploração, relatada publicamente como ‘ToolShell’, fornece acesso não autenticado aos sistemas e permite que agentes mal-intencionados acessem totalmente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas, e executem códigos pela rede”, disse a agência de segurança cibernética .

A Microsoft está respondendo rapidamente e estamos trabalhando com a empresa para ajudar a notificar entidades potencialmente impactadas sobre as medidas de mitigação recomendadas. A CISA incentiva todas as organizações com servidores Microsoft SharePoint locais a tomarem as medidas recomendadas imediatamente.