Hackers exploram falha do ToolShell SharePoint semanas após o patch de julho da Microsoft

Hackers foram identificados explorando ativamente a vulnerabilidade de segurança conhecida como ToolShell no Microsoft SharePoint. A exploração ocorreu para violar uma empresa de telecomunicações no Oriente Médio semanas após a falha ter sido publicamente divulgada e corrigida em julho de 2025.

Além da empresa de telecomunicações, outros alvos incluíram departamentos governamentais de um país africano e agências governamentais na América do Sul, uma universidade nos EUA, e possivelmente uma agência estatal de tecnologia em outro país africano, um departamento governamental no Oriente Médio e uma empresa financeira em um país europeu.

De acordo com o Symantec Threat Hunter Team da Broadcom, os ataques envolveram a exploração do CVE-2025-53770, uma falha de segurança já corrigida em servidores SharePoint locais que poderia ser usada para ignorar a autenticação e obter execução remota de código (RCE).

O CVE-2025-53770, avaliado como um desvio de patch para as falhas CVE-2025-49704 e CVE-2025-49706, foi transformado em uma arma de dia zero por, inicialmente, três grupos hackers chineses: o Linen Typhoon (também conhecido como Budworm), o Violet Typhoon (também conhecido como Sheathminer) e o Storm-2603. Este último é conhecido por seu envolvimento na implantação das famílias de ransomware Warlock, LockBit e Babuk nos últimos meses.

Expansão da Exploração por Múltiplos Grupos

As descobertas mais recentes da Symantec indicam que uma gama muito mais ampla de hackers chineses se aproveitou da vulnerabilidade. Isso inclui o grupo de hackers Salt Typhoon (também conhecido como Glowworm), que aproveitou a falha do ToolShell para implantar ferramentas de acesso remoto e persistência, como Zingdoor, ShadowPad e KrustyLoader, contra a empresa de telecomunicações e dois órgãos governamentais na África.

O KrustyLoader, detalhado pela primeira vez pela Synacktiv em janeiro de 2024, é um carregador baseado em Rust usado anteriormente por um grupo de espionagem ligado à China, denominado UNC5221, em ataques que exploraram falhas no Ivanti Endpoint Manager Mobile (EPMM) e no SAP NetWeaver.

Em incidentes separados, os ataques direcionados a agências governamentais na América do Sul e a uma universidade nos EUA envolveram o uso de vulnerabilidades não especificadas para obter acesso inicial. No entanto, o método de ataque subsequente incluiu a exploração de servidores SQL e servidores HTTP Apache executando o software Adobe ColdFusion para entregar cargas maliciosas, utilizando técnicas de carregamento lateral de DLL.

Em alguns dos incidentes observados, os invasores executaram um exploit para CVE-2021-36942 (também conhecido como PetitPotam) para escalonamento de privilégios e comprometimento de domínio, juntamente com uma série de ferramentas prontas e de exploração "Living off the Land" (LotL) para facilitar varredura, download de arquivos e roubo de credenciais nos sistemas infectados.

Motivação: Espionagem e Acesso Persistente

A Symantec observou alguma sobreposição nos tipos de vítimas e em algumas das ferramentas utilizadas entre as atividades recentes e aquelas anteriormente atribuídas ao Glowworm. No entanto, a empresa de segurança não possui evidências suficientes para atribuir a atividade de forma conclusiva a um grupo específico, embora afirme que "todas as evidências apontam para hackers baseados na China como os responsáveis por ela".

"A atividade realizada nas redes alvos indica que os invasores estavam interessados ​​em roubar credenciais e estabelecer acesso persistente e furtivo às redes das vítimas, provavelmente com o propósito de espionagem", concluiu a Symantec. A exploração rápida de vulnerabilidades corrigidas por entidades chinesas ressalta a importância crítica de aplicar patches de segurança imediatamente, especialmente em infraestruturas governamentais e de telecomunicações.

Via - THN