A Microsoft corrigiu duas falhas críticas de segurança do SharePoint de zero dia que já foram exploradas por hackers para atacar organizações vulneráveis. Respondendo às explorações, a gigante do software program emitiu correções para o SharePoint Server Subscription Version e o SharePoint Server 2019, mas ainda está trabalhando em um patch para o SharePoint Server 2016.
Designado como CVE-2025-53771 e CVE-2025-53770as duas vulnerabilidades se aplicam apenas às versões locais do SharePoint; portanto, as organizações que executam o SharePoint on-line baseadas em nuvem não são afetadas.
Também: Substituí minha senha da conta da Microsoft por uma pasta – e você também deve
Classificado como importante, o CVE-2025-53771 é definido como uma vulnerabilidade de falsificação de servidor do SharePoint, o que significa que os invasores são capazes de se passar por usuários ou recursos confiáveis e legítimos em um ambiente do SharePoint. Classificado como crítico, o CVE-2025-53770 é definido como uma vulnerabilidade de execução de código remoto do SharePoint Server. Com esse tipo de falha, os hackers podem executar o código remotamente em um ambiente do SharePoint.
“CVE-2025-53770 provides a menace actor the power to remotely execute code, bypassing identification protections (like single sign-on and multi-factor authentication), giving entry to content material on the SharePoint server together with configurations and system recordsdata, opening up lateral entry throughout the Home windows area,” Trey Ford, chief data safety officer at crowdsourced cybersecurity supplier Bugcrowd, informed ZDNET.
Juntos, as duas falhas dão aos cibercriminosos a capacidade de instalar programas maliciosos que podem comprometer um ambiente do SharePoint. E isso é exatamente o que está acontecendo.
Os hackers já têm lançou ataques contra agências federais e estaduais dos EUA, universidades, empresas de energia e outras, funcionários estaduais e pesquisadores privados disseram The Washington Post. Os servidores do SharePoint foram violados em pelo menos duas agências federais dos EUA, de acordo com os pesquisadores. Um funcionário do estado dos EUA disse que os atacantes “sequestraram” uma coleção de documentos projetados para ajudar as pessoas a entender como seu governo funciona, acrescentou o put up.
Quem são os hackers por trás dos ataques?
Na terça -feira, Microsoft apontou o dedo para três atores nacionais chinesesacusando o tufão de linho, o Hurricane Violet e a Storm -2603 de explorar as falhas do SharePoint.
Ativo desde 2012, o Linen Hurricane é especializado em roubar propriedade intelectual, direcionando principalmente organizações de governo, defesa, planejamento estratégico e direitos humanos. O grupo normalmente conta com a exploração de vulnerabilidades de segurança para lançar seus ataques.
Também: A Microsoft lança mudanças de segurança do Home windows para impedir outro colapso de crowdstrike
Nos negócios desde 2015, Violet Hurricane se concentra na espionagem contra uma variedade de metas, incluindo ex-governo e militar, organizações não-governamentais, assume tanks, ensino superior, mídia digital e impressa, empresas financeiras e empresas relacionadas à saúde nos EUA. Este grupo também procura vulnerabilidades de segurança para explorar.
A Microsoft disse que acredita que a Storm -2603 também está sediada na China, mas ainda não descobriu nenhum vínculo entre ela e outros hackers chineses. Este grupo tentou aproveitar as vulnerabilidades do SharePoint para roubar a pasta Home windows Machinekeys, que armazena chaves criptográficas.
Por que a Microsoft permitiu que essas falhas fiquem tão fora de controle?
A empresa tentou corrigir a vulnerabilidade da falsificação do servidor e a vulnerabilidade de execução de código remoto com seu patch de 8 de julho de terça -feira, atualizações by way of CVE-2025-49706Assim, CVE-2025-49704e CVE-2025-49701. Mas, aparentemente, as correções não fizeram o truque, pois os hackers mais experientes foram capazes de se aproximar deles.
Felizmente, desta vez os novos patches funcionarão. Em Uma FAQA Microsoft disse sobre sua cavalgada de CVEs: “Sim, a atualização para CVE-2025-53770 inclui proteções mais robustas do que a atualização para CVE-2025-49704. A atualização para CVE-2025-53771 inclui proteções mais robustas do que a atualização para CVE-205-49706.
Uma pergunta é por que empresas como a Microsoft continuam expondo seus clientes a esses tipos de falhas de segurança. Um problema está na crescente complexidade de todos os diferentes ambientes de clientes.
“Os patches raramente são totalmente abrangentes e as bases de código são complexas, e as implementações são altamente variadas”, disse Ford. “É por isso que esses arreios de teste e processos de teste de regressão são tão complicados. Em um mundo perfeito, todos estariam executando a versão mais recente do código, totalmente corrigida. Obviamente, isso não é possível, portanto, o desenvolvimento de recursos deve ser testado em uma área de superfície exponencialmente mais complicada”.
Também: Não é possível atualizar seu PC Home windows 10? Você tem 5 opções e 3 meses para agir – antes da EOS
Antes da Microsoft lançar os novos patches no domingo, a empresa de segurança ocular avisou sobre as falhas do SharePoint em um Sábado Post de pesquisa.
“Na noite de 18 de julho de 2025, a segurança ocular foi a primeira na identificação da exploração em larga escala de um novoSharePoint Distant Code Execution (RCE)cadeia de vulnerabilidades na natureza “, disse a empresa.” Demonstrou Apenas alguns dias atrás em xessa exploração está sendo usada para comprometer os servidores do SharePoint no native em todo o mundo. Antes que essa vulnerabilidade fosse amplamente conhecida na última sexta -feira, nossa equipe examinou mais de 8000 servidores do SharePointmundialmente. Descobrimos dezenas de sistemas comprometidos ativamente durante duas ondas de ataque, em 18 de julho por volta das 18:00 UTC e 19 de julho por volta das 07:30 UTC “.
Referindo -se à falha de segurança como casca de ferramenta, a segurança ocular explicou como os ambientes do SharePoint podem ser comprometidos através dos ataques.
Ignorando as proteções de segurança, os hackers podem executar o código remotamente, obtendo acesso ao conteúdo do SharePoint, arquivos do sistema e configurações. Os invasores também podem roubar chaves criptográficas, permitindo que eles se vejam usuários ou serviços, mesmo depois que o servidor é corrigido. Como o SharePoint se conecta a outros serviços da Microsoft, como Outlook, Groups e OneDrive, os hackers podem se mover lateralmente por uma rede para roubar senhas e dados associados.
Como consertar as falhas de segurança
Para organizações que executam o SharePoint Server, a Microsoft descreveu as etapas para corrigir as falhas.
Também: Como obter atualizações gratuitas de segurança do Home windows 10 até outubro de 2026: duas maneiras
Para o Microsoft SharePoint Server Subscription Version, vá para esta página de atualização Para baixar e instalar o patch. Para o Microsoft SharePoint Server 2019, navegue para esta página de atualização Para pegar o patch.
Como se proteger contra ataques futuros
A Microsoft oferece os seguintes conselhos:
- Verifique se você está executando versões suportadas do SharePoint Server.
- Aplique as últimas patches de segurança, incluindo as atualizações do patch de julho na terça -feira.
- Certifique -se de que o Windows Antimalware Scan Interface (AMSI) está ativado e configurado corretamente com um produto antivírus, como o zagueiro antivírus.
- Instale o software program de segurança, como o Microsoft Defender para endpoint.
- Gire as teclas da máquina ASP.NET do SharePoint Server.
Por enquanto, os usuários do SharePoint 2016 ainda estão vulneráveis à exploração. Mas a Microsoft deve fornecer um patch para esta versão em pouco tempo. Proceed a verificar A página da empresa na orientação do cliente do SharePoint Para detalhes.
Também: A Microsoft está economizando milhões com IA e demitindo milhares – para onde vamos daqui?
A Ford ofereceu mais conselhos a organizações com servidores do SharePoint.
“Ao executar seus próprios serviços no native, pergunte se eles realmente precisam ser expostos à Web ou acessíveis a partes não confiáveis”, disse Ford. “Abaixar sua superfície de ataque é sempre sábio – decrease o número de hosts e serviços que você tem disponível para usuários públicos e não confiáveis. Endurecendo, adicionando as proteções de terminais recomendadas, como a interface de varredura antimalware da Microsoft e o zagueiro para esses serviços altamente integrados é basic”.
Pegue as principais histórias da manhã em sua caixa de entrada todos os dias com nosso Tecnologia hoje boletim.
