ToolShell Zero Day – Sharepoint sob ataque

21/07/2025 mindsecblog Notícias 0

ToolShell Zero Day – Sharepoint sob ataque. Microsoft corrige vulnerabilidade ‘ToolShell’ Zero-Day explorada para hackear servidores SharePoint.

A Microsoft começou a lançar atualizações para corrigir os ataques de dia zero do SharePoint explorados, rastreados como CVE-2025-53770 e CVE-2025-53771.

A Microsoft começou a lançar atualizações de emergência do SharePoint Server para corrigir alguns ataques de dia zero que foram explorados nos últimos dias em instâncias vulneráveis.

A exploração das vulnerabilidades , rastreadas como CVE-2025-53770 e CVE-2025-53771 e apelidadas de ‘ToolShell’ , parece ter começado em 18 de julho, de acordo com a Eye Security, cujos pesquisadores foram os primeiros a alertar as organizações sobre os ataques.

A Microsoft confirmou rapidamente a exploração in loco e compartilhou medidas de mitigação enquanto se esforçava para desenvolver patches. No final do domingo, a gigante da tecnologia anunciou atualizações de segurança que devem corrigir as vulnerabilidades no SharePoint Subscription Edition e no SharePoint 2019. Os patches para o SharePoint 2016 estão pendentes.

As falhas CVE-2025-53770 e CVE-2025-53771 afetam apenas servidores SharePoint locais. As falhas podem ser encadeadas para execução remota de código não autenticado.

Em ataques observados pela Eye Security e pelo Threat Intelligence Group do Google, os invasores plantaram um webshell e exfiltraram segredos criptográficos que lhes permitiram obter acesso total aos sistemas comprometidos.

Varreduras de internet conduzidas pela Eye Security mostraram dezenas de servidores SharePoint invadidos por um ataque do ToolShell. 

A organização sem fins lucrativos de segurança cibernética ShadowServer relatou ter visto mais de 9.000 instâncias do SharePoint expostas na internet , a maioria na América do Norte e na Europa. Não está claro quantas delas são vulneráveis a ataques.

CVE-2025-53770 e CVE-2025-53771 são variantes de CVE-2025-49706 e CVE-2025-49704, que pesquisadores de segurança da Viettel demonstraram em maio na competição de hackers Pwn2Own Berlin .

A Microsoft corrigiu os CVE-2025-49706 e CVE-2025-49704 com suas atualizações de Patch Tuesday de julho de 2025. Alguns dias depois, pesquisadores da Code White reproduziram a cadeia de exploração , que chamaram de ToolShell, mostrando como ela pode ser executada com apenas uma solicitação por um invasor não autenticado.

Parece que os cibercriminosos conseguiram contornar os patches da Microsoft para CVE-2025-49706 e CVE-2025-49704 e começaram a lançar ataques contra servidores SharePoint vulneráveis.

Em resposta, a Microsoft publicou novos avisos e atribuiu novos CVEs: CVE-2025-53770 , cujo patch deve incluir “proteções mais robustas” do que o patch para CVE-2025-49704, e CVE-2025-53771 , cujo patch deve fornecer melhores proteções do que o para CVE-2025-49706.

Até o momento da redação deste texto, o aviso da Microsoft sobre o CVE-2025-53771 não menciona exploração ativa. A SecurityWeek está tentando obter esclarecimentos da Microsoft sobre a exploração dessa falha.

No fim de semana, a Palo Alto Networks relatou ter visto explorações de CVE-2025-49704 e CVE-2025-49706 contra alvos em todo o mundo. No entanto, seu comunicado foi divulgado antes da Microsoft anunciar novos identificadores CVE, sugerindo que estes são os mesmos ataques observados por outros.

A agência de segurança cibernética CISA adicionou o CVE-2025-53770 ao seu catálogo de KEV e instruiu as organizações governamentais a lidarem com a questão imediatamente. A agência também emitiu seu próprio alerta resumindo as informações disponíveis e as medidas de mitigação. 

As organizações que não podem aplicar imediatamente os patches disponíveis — ou as versões do SharePoint que estão usando ainda não foram corrigidas — são aconselhadas a habilitar a integração da Antimalware Scan Interface (AMSI) no SharePoint e defini-la como “Modo Completo”. 

Como as chaves criptográficas alvo desses ataques podem já estar comprometidas no momento em que as atualizações ou mitigações são implantadas, a Microsoft recomenda girá-las após as atualizações ou mitigações serem aplicadas.

Embora os relatórios iniciais sugerissem que o CVE-2025-53770 e o CVE-2025-53771 estão sendo encadeados nos ataques recentes, a Eye Security disse à SecurityWeek que não viu exploração ativa do CVE-2025-53771 (ou CVE-2025-49706).

No entanto, como nossas detecções nos permitiram interromper ataques em um estágio inicial, não vimos toda a cadeia de ataque se desenrolar nos ambientes dos clientes. É possível que haja etapas ou explorações adicionais na cadeia que ainda não foram descobertas”, explicou a empresa.

Por  publicado em SecurityWeek 

Veja também:

About mindsecblog 3108 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

LGPD & PRIVACY

LGPD – Procon do Mato Grosso multa Droga Raia por irregularidade na obtenção de consentimento

15/07/2021 mindsecblog LGPD & PRIVACY, Notícias 1

LGPD – Procon do Mato Grosso multa Droga Raia por irregularidade na obtenção de consentimento para o tratamento de dados pessoais. A multa de R$ 572.680,71 foi aplicada devido a infração ter sido constatada após […]

Notícias

71 razões para atualizar o Windows o mais rápido possível.

15/10/2021 mindsecblog Notícias 1

71 razões para atualizar o Windows o mais rápido possível. Na Patch Tuesday de outubro, a Microsoft corrigiu 71 vulnerabilidades, várias das quais são particularmente sérias. Durante a última Patch Tuesday, a Microsoft fechou um […]

Notícias

58 Estatísticas de Ransomware Vitais para a Segurança em 2024

19/08/2024 mindsecblog Notícias 0

58 Estatísticas de Ransomware Vitais para a Segurança em 2024.  Ransomware é um tipo de malware que ameaça destruir ou reter dados críticos de uma vítima, a menos que um resgate seja pago ao invasor. Infelizmente, os ataques […]

Be the first to comment

Deixe sua opinião!