Uma vulnerabilidade crítica de segurança no Microsoft SharePoint Server foi usada em uma campanha de exploração ativa e em larga escala; rastreada como CVE-2025-53770 (pontuação CVSS: 9,8), foi descrita como uma variante do CVE-2025-49704 (pontuação CVSS: 8,8), um bug de injeção de código e execução remota de código no Microsoft SharePoint Server – corrigido pela gigante da tecnologia como parte de suas atualizações do Patch Tuesday de julho de 2025.
“A desserialização de dados não confiáveis no Microsoft SharePoint Server local permite que um invasor não autorizado execute código em uma rede”, afirmou a Microsoft em comunicado do dia 19 de julho de 2025.
Os invasores que exploram esse bug estão injetando código arbitrário e explorando a maneira como o SharePoint desserializa objetos não confiáveis, permitindo que executem comandos antes mesmo da autenticação. Uma vez dentro do sistema, podem forjar payloads confiáveis usando chaves de máquina roubadas para persistir ou se mover lateralmente, e mesmo se misturar a atividades legítimas do SharePoint, tornando a detecção e a resposta mais difíceis e sem visibilidade profunda dos endpoints.
Na ausência de um patch oficial, a Microsoft solicita que se configurem a integração da Antimalware Scan Interface (AMSI) no SharePoint e implantem o Defender AV em todos os servidores do SharePoint. A integração AMSI é habilitada por padrão na atualização de segurança de setembro de 2023 para o SharePoint Server 2016/2019 e na atualização de recursos da versão 23H2 para o SharePoint Server Subscription Edition. Para quem não conseguir habilitar o AMSI, é recomendável desconectar o SharePoint Server da internet até que uma atualização de segurança esteja disponível. Para maior proteção, recomenda-se que os usuários implantem o Defender for Endpoint para detectar e bloquear atividades pós-exploit.
Isso acontece depois que a Eye Security e a Unidade 42 da Palo Alto Networks alertaram sobre ataques que encadeiam o CVE-2025-49706 (pontuação CVSS: 6,3), bug de spoofing no SharePoint, e o CVE-2025-49704 para facilitar a execução arbitrária de comandos em instâncias suscetíveis. A cadeia de exploração recebeu o codinome ToolShell.
Mas comoo CVE-2025-53770 é uma variante do CVE-2025-49704, esses ataques estejam relacionados.
A Eye Security acredita adicionar ‘_layouts/SignOut.aspx’ como referenciador HTTP transforma o CVE2025-49706 em CVE2025-53770. E a ZDI caracterizou o CVE-2025-49706 como uma vulnerabilidade de desvio de autenticação que decorre de como o aplicativo manipula o cabeçalho HTTP Referer fornecido ao ponto de extremidade do ToolPane (“/_layouts/15/ToolPane.aspx”).
Mais de 85 servidores SharePoint de 29 organizações diferentes em todo o mundo foram identificados como comprometidos com o Shell.
A watchTowr destacou que ainda não está claro se algumas das atividades associadas ao CVE-2025-53770 podem ter se sobreposto ou sido atribuídas incorretamente ao CVE-2025-49704 ou ao CVE-2025-49706.
A CISA – Agência de Segurança Cibernética e de Infraestrutura dos EUA, em um alerta, disse estar ciente da exploração ativa do CVE-2025-53770, que permite acesso não autenticado aos sistemas do SharePoint e execução arbitrária de código na rede.
“A CISA foi informada da exploração por um parceiro confiável e entramos em contato com a Microsoft imediatamente para tomar as medidas necessárias. A Microsoft está respondendo rapidamente e estamos trabalhando com a empresa para ajudar a notificar as entidades potencialmente afetadas sobre as medidas de mitigação recomendadas. A CISA incentiva todas as organizações com servidores Microsoft Sharepoint locais a tomarem as medidas recomendadas imediatamente”, disse Chris Butera, Diretor Executivo Assistente em exercício de Segurança Cibernética.
Ano domingo (20/07) a Microsoft lançou um patch para o CVE-2025-53770 e uma falha recém-descoberta, identificada como CVE-2025-53771.
Segundo a Microsoft, a atualização para CVE-2025-53770 inclui proteções mais robustas do que a atualização para CVE-2025-49704; a atualização para CVE-2025-53771 inclui proteções mais robustas do que a atualização para CVE-2025-49706. A Microsoft havia caracterizado anteriormente a CVE-2025-53770 como uma variante da CVE-2025-49706. A empresa disse que o conteúdo publicado atualmente está correto e que a inconsistência anterior não afeta a orientação da empresa para os usuários.
Ambas as falhas identificadas se aplicam apenas aos servidores SharePoint locais e não afetam o SharePoint Online no Microsoft 365. Os problemas foram corrigidos nas versões abaixo (até agora):
- Microsoft SharePoint Server 2019 ( 16.0.10417.20027 )
- Microsoft SharePoint Enterprise Server 2016 ( 16.0.5508.1000 )
- Edição de assinatura do Microsoft SharePoint Server
- Microsoft SharePoint Server 2019 Core
- Microsoft SharePoint Server 2016 (a definir)
Para mitigar potenciais ataques, recomenda-se que se use versões compatíveis do SharePoint Server local (SharePoint Server 2016, 2019 e SharePoint Subscription Edition); se apliquem as atualizações de segurança mais recentes; certifiquem-se de que a interface de verificação antimalware (AMSI) esteja ativada e ative o modo completo para proteção ideal, juntamente com uma solução antivírus apropriada, como o Defender Antivirus
Também é recomendável implantar o Microsoft Defender para proteção de endpoint ou soluções de ameaças equivalentes e girar chaves de máquina ASP.NET do SharePoint Server
“Após aplicar as atualizações de segurança mais recentes mencionadas acima ou habilitar o AMSI, é fundamental que os clientes alternem as chaves de máquina ASP.NET do servidor SharePoint e reiniciem o IIS em todos os servidores SharePoint. Se não for possível habilitar o AMSI, será necessário rotacionar suas chaves após instalar a nova atualização de segurança”, afirmou a Microsoft.
Se você tiver o SharePoint local exposto à internet, deve presumir que foi comprometido neste momento. Aplicar patches por si só não é suficiente para eliminar completamente a ameaça. O que torna isso especialmente preocupante é a profunda integração do SharePoint com a plataforma da Microsoft, incluindo seus serviços como Office, Teams, OneDrive e Outlook, que contêm todas as informações valiosas para um invasor.
Uma solução imediata e paliativa seria desconectar seu Microsoft SharePoint da internet até que um patch esteja disponível porque uma falsa sensação de segurança pode resultar em exposição prolongada e comprometimento generalizado.
