top of page
Buscar

Microsoft lança Patch de urgência para corrigir falha crítica no SharePoint

  • Foto do escritor: Orlando Santos Cyber Security Brazil
    Orlando Santos Cyber Security Brazil
  • 21 de jul.
  • 4 min de leitura
ree

A Microsoft lançou no último domingo, 20 de julho de 2025, patches de segurança urgentes para uma falha crítica no SharePoint que está sendo ativamente explorada por hackers. A gigante da tecnologia também divulgou detalhes de outra vulnerabilidade que, segundo a empresa, foi corrigida com "proteções mais robustas".


A companhia confirmou estar "ciente de ataques ativos direcionados a clientes do SharePoint Server local, explorando vulnerabilidades parcialmente abordadas pela Atualização de Segurança de julho".


A vulnerabilidade explorada, rastreada como CVE-2025-53770 (com uma pontuação CVSS de 9.8), refere-se a um caso de execução de código remoto. Ela surge devido à desserialização de dados não confiáveis em versões locais do Microsoft SharePoint Server.


A falha recém-divulgada é uma vulnerabilidade de spoofing no SharePoint (CVE-2025-53771, CVSS de 6.3). Um pesquisador anônimo foi creditado pela descoberta e notificação do bug.


"A limitação inadequada de um nome de caminho para um diretório restrito ('path traversal') no Microsoft Office SharePoint permite que um invasor autorizado realize spoofing em uma rede", declarou a Microsoft em um comunicado divulgado em 20 de julho de 2025.


A Microsoft também observou que as vulnerabilidades CVE-2025-53770 e CVE-2025-53771 estão relacionadas a outras duas falhas do SharePoint (CVE-2025-49704 e CVE-2025-49706), que poderiam ser encadeadas para alcançar a execução de código remoto.


Essa cadeia de exploração, conhecida como ToolShell, foi corrigida como parte da atualização Patch Tuesday de julho de 2025 da empresa.


"A atualização para CVE-2025-53770 inclui proteções mais robustas do que a atualização para CVE-2025-49704", afirmou a fabricante do Windows. "A atualização para CVE-2025-53771 inclui proteções mais robustas do que a atualização para CVE-2025-49706."


É importante notar que a Microsoft havia caracterizado anteriormente a CVE-2025-53770 como uma variante da CVE-2025-49706. Questionada sobre essa discrepância, um porta-voz da Microsoft disse que a empresa "está priorizando a distribuição de atualizações aos clientes, ao mesmo tempo em que corrige quaisquer imprecisões de conteúdo, conforme necessário." A empresa também reiterou que o conteúdo publicado atualmente está correto e que a inconsistência anterior não afeta suas orientações para os clientes.


Ambas as falhas identificadas se aplicam apenas aos SharePoint Servers locais e não afetam o SharePoint Online no Microsoft 365. Os problemas foram corrigidos nas versões listadas abaixo:

Para mitigar ataques potenciais, a Microsoft recomenda que os clientes:

  • Usem versões suportadas do SharePoint Server local (SharePoint Server 2016, 2019 e SharePoint Subscription Edition).

  • Apliquem as atualizações de segurança mais recentes.

  • Certifiquem-se de que a Interface de Verificação Antimalware (AMSI) esteja ativada e habilitem o Modo Completo para proteção ideal, juntamente com uma solução antivírus apropriada, como o Defender Antivirus.

  • Implementem o Microsoft Defender for Endpoint, ou soluções equivalentes de proteção contra ameaças.

  • Girem as chaves de máquina ASP.NET do SharePoint Server.


"Após aplicar as últimas atualizações de segurança ou habilitar o AMSI, é fundamental que os clientes girem as chaves de máquina ASP.NET do servidor SharePoint e reiniciem o IIS em todos os servidores SharePoint", enfatizou a Microsoft. "Se você não puder habilitar o AMSI, precisará girar suas chaves após instalar a nova atualização de segurança."


Este desenvolvimento ocorre no momento em que a Eye Security informou que pelo menos 54 organizações foram comprometidas, incluindo bancos, universidades e entidades governamentais. A exploração ativa teria começado por volta de 18 de julho, de acordo com a empresa.


A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), por sua vez, adicionou a CVE-2025-53770 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), exigindo que as agências executivas civis federais (FCEB) apliquem as correções até 21 de julho de 2025.


A Palo Alto Networks Unit 42, que também está rastreando o que descreveu como uma "campanha de ameaça de alto impacto e em andamento", afirmou que governos, escolas, serviços de saúde (incluindo hospitais) e grandes empresas estão sob risco imediato.


"Os invasores estão contornando os controles de identidade, incluindo MFA e SSO, para obter acesso privilegiado", disse Michael Sikorski, CTO e Chefe de Inteligência de Ameaças da Unit 42 na Palo Alto Networks, ao The Hacker News. "Uma vez dentro, eles estão exfiltrando dados confidenciais, implementando backdoors persistentes e roubando chaves criptográficas. Os hackers aproveitaram essa vulnerabilidade para entrar nos sistemas e já estão estabelecendo sua base."


"Se você tem o SharePoint local exposto à internet, deve presumir que foi comprometido neste ponto. Somente a aplicação de patches é insuficiente para remover completamente a ameaça. O que torna isso especialmente preocupante é a profunda integração do SharePoint com a plataforma da Microsoft, incluindo seus serviços como Office, Teams, OneDrive e Outlook, que possuem todas as informações valiosas para um invasor. Um comprometimento não permanece contido – ele abre a porta para toda a rede."


A empresa de cibersegurança também classificou a situação como uma ameaça de alta gravidade e alta urgência, instando as organizações que executam servidores Microsoft SharePoint locais a aplicar os patches necessários com efeito imediato, girar todo o material criptográfico e se engajar em esforços de resposta a incidentes.


"Uma correção imediata seria desconectar seu Microsoft SharePoint da internet até que um patch esteja disponível", acrescentou Sikorski. "Uma falsa sensação de segurança pode resultar em exposição prolongada e comprometimento generalizado."


Via - THN

 
 
 

Comentários

bottom of page