Falha crítica Zero-Day no SharePoint não corrigida permite invasão de mais de 75 servidores corporativos

Uma vulnerabilidade crítica de segurança no Microsoft SharePoint Server está sendo ativamente explorada em uma campanha de invasão "ativa e em larga escala". A falha zero-day, identificada como CVE-2025-53770 (CVSS: 9.8), é uma variante da CVE-2025-49706 (CVSS: 6.3), um bug de falsificação no Microsoft SharePoint Server que foi corrigido pela gigante da tecnologia nas atualizações do Patch Tuesday de julho de 2025.

"A desserialização de dados não confiáveis no Microsoft SharePoint Server local permite que um invasor não autorizado execute código em uma rede", afirmou a Microsoft em um comunicado divulgado em 19 de julho de 2025. A empresa de Redmond informou ainda que está preparando e testando um pacote de atualização completo para resolver o problema, creditando a Viettel Cyber Security pela descoberta e comunicação da falha por meio da Zero Day Initiative (ZDI) da Trend Micro.

Em um alerta separado, a Microsoft reiterou seu conhecimento sobre os ataques ativos direcionados a clientes com SharePoint Server local, enfatizando que o SharePoint Online no Microsoft 365 não foi afetado.

Os hackers que exploram esse bug não estão apenas injetando código arbitrário; eles estão abusando da forma como o SharePoint desserializa objetos não confiáveis, permitindo a execução de comandos antes mesmo da autenticação.

Uma vez dentro, eles podem forjar payloads confiáveis usando chaves de máquina roubadas para manter a persistência ou se mover lateralmente, muitas vezes se misturando com atividades legítimas do SharePoint, o que torna a detecção e resposta particularmente difíceis sem uma visibilidade aprofundada do endpoint.

Na ausência de um patch oficial, a Microsoft está pedindo aos clientes que configurem a integração do Antimalware Scan Interface (AMSI) no SharePoint e implementem o Defender AV em todos os servidores SharePoint. Vale ressaltar que a integração AMSI é habilitada por padrão na atualização de segurança de setembro de 2023 para SharePoint Server 2016/2019 e na atualização de recursos da Versão 23H2 para SharePoint Server Subscription Edition.

Para aqueles que não podem habilitar o AMSI, é aconselhável que o SharePoint Server seja desconectado da internet até que uma atualização de segurança esteja disponível. Para proteção adicional, os usuários são recomendados a implementar o Defender para Endpoint para detectar e bloquear atividades pós-exploração.

A divulgação dessa vulnerabilidade ocorre enquanto a Eye Security e a Palo Alto Networks Unit 42 alertavam sobre ataques que encadeiam as falhas CVE-2025-49706 e CVE-2025-49704 (CVSS: 8.8), uma falha de injeção de código no SharePoint, para facilitar a execução arbitrária de comandos em instâncias suscetíveis.

Essa cadeia de exploração foi apelidada de ToolShell. Dada a relação entre a CVE-2025-53770 e a CVE-2025-49706, suspeita-se que esses ataques estejam conectados. A Eye Security afirmou que os ataques em larga escala identificados por eles utilizam a CVE-2025-49706 para enviar um payload de execução remota de código que explora a CVE-2025-49704. "Acreditamos que a descoberta de que adicionar '_layouts/SignOut.aspx' como referenciador HTTP transforma a CVE-2025-49706 na CVE-2025-53770", declarou a empresa.

A ZDI, por sua vez, caracterizou a CVE-2025-49706 como uma vulnerabilidade de bypass de autenticação que decorre da forma como a aplicação lida com o cabeçalho HTTP Referer fornecido ao endpoint ToolPane ("/_layouts/15/ToolPane.aspx").

A atividade maliciosa envolve a entrega de payloads ASPX via PowerShell, que é então usado para roubar a configuração do MachineKey do servidor SharePoint, incluindo o ValidationKey e o DecryptionKey, para manter o acesso persistente.

A empresa holandesa de cibersegurança afirmou que essas chaves são cruciais para gerar payloads __VIEWSTATE válidos, e que o acesso a elas transforma efetivamente qualquer solicitação autenticada do SharePoint em uma oportunidade de execução remota de código. "Ainda estamos identificando ondas de exploração em massa", disse Piet Kerkhofs, CTO da Eye Security, em um comunicado.

"Isso terá um enorme impacto, pois os invasores estão se movendo lateralmente com velocidade usando essa execução remota de código." Mais de 85 servidores SharePoint globalmente foram identificados como comprometidos com o web shell malicioso até o momento. Esses servidores invadidos pertencem a 29 organizações, incluindo empresas multinacionais e entidades governamentais.

Benjamin Harris, CEO da watchTowr, explicou que "__VIEWSTATE é um mecanismo central no ASP.NET que armazena informações de estado entre as requisições. É criptograficamente assinado e opcionalmente criptografado usando o ValidationKey e o DecryptionKey." Ele acrescentou: "Com essas chaves em mãos, os invasores podem criar payloads __VIEWSTATE forjados que o SharePoint aceitará como válidos — possibilitando a execução remota de código sem interrupções.

Essa abordagem torna a remediação particularmente difícil — um patch típico não rotacionaria automaticamente esses segredos criptográficos roubados, deixando as organizações vulneráveis mesmo depois de aplicarem o patch." Harris também destacou que ainda não está claro se parte da atividade associada à CVE-2025-53770 pode ter se sobreposto ou sido erroneamente atribuída à CVE-2025-49704 ou CVE-2025-49706.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, em um alerta, declarou estar ciente da exploração ativa da CVE-2025-53770, que permite acesso não autenticado a sistemas SharePoint e execução arbitrária de código na rede.

"A CISA foi informada da exploração por um parceiro confiável e imediatamente contatamos a Microsoft para que tomasse medidas", disse Chris Butera, Diretor Executivo Assistente Interino de Cibersegurança. "A Microsoft está respondendo rapidamente, e estamos trabalhando com a empresa para ajudar a notificar as entidades potencialmente afetadas sobre as mitigações recomendadas.

A CISA incentiva todas as organizações com servidores Microsoft SharePoint locais a tomarem as medidas recomendadas imediatamente." A CISA vê isso como um exemplo importante de colaboração operacional para segurança interna e nacional, destacando a importância da confiança e cooperação entre pesquisadores, provedores de tecnologia e a agência.

Vale ressaltar que a Microsoft ainda não atualizou seus comunicados para as CVE-2025-49706 e CVE-2025-49704 para refletir a exploração ativa. A "Cyber Security Brasil - Notícias" também entrou em contato com a empresa para maiores esclarecimentos e atualizará a notícia assim que tivermos novas informações.

Via - THN