O software program SharePoint da Microsoft para servidores está sendo direcionado por atores maliciosos usando uma vulnerabilidade de execução de código remoto (RCE) para obter acesso não autorizado, de acordo com a empresa. A falha de segurança permite que os atores de ameaças segmentem servidores locais em milhares de empresas com servidores do SharePoint. Os pesquisadores afirmam que, uma vez que os invasores violaram esses servidores, eles podem obter acesso persistente, mesmo que o servidor seja corrigido. A Microsoft diz que lançou um patch de segurança que pode mitigar ataques ativos e mais estão a caminho.
Os atores de ameaças ganham acesso persistente aos servidores Microsoft SharePoint
A vulnerabilidade que afeta os servidores do native do SharePoint foi relatado em 18 de julho por pesquisadores da empresa europeia de segurança cibernética. Eles explicaram que os atores de ameaças estão usando uma vulnerabilidade de dias zero ou anteriormente desconhecidos (que foi identificada como CVE-2025-53770 e CVE-2025-53770) para obter acesso a servidores, sem usar ataques de força bruta ou phishing.
A Microsoft está ciente dos ataques ativos direcionados aos clientes do SharePoint Server, explorando uma variante do CVE-2025-49706. Essa vulnerabilidade foi atribuída CVE-2025-53770.
Descrevemos mitigações e detecções em nosso weblog. Nossa equipe está trabalhando com urgência para liberar…
– Resposta de segurança (@msftSecResponse) 20 de julho de 2025
A nova vulnerabilidade do dia zero é uma versão armada de uma exploração exibida no PWN2OOWN Berlin (um concurso de segurança) no início deste ano. A CISA dos EUA alerta que os atores de ameaças podem executar código na rede e Obtenha acesso a todo o conteúdo do SharePoint em um servidor, como configurações internas ou sistemas de arquivos.
Segundo os pesquisadores, esses atacantes poderiam usar teclas roubadas para agir em nome de usuários legítimos. Como resultado, esses invasores podem modificar componentes e instalar outro código que permite que eles mantenham o acesso aos servidores após a instalação dos patches de segurança ou os sistemas sejam reiniciados.
A Unidade 42 da Palo Alto Networks escreveu no X (anteriormente Twitter) que a equipe de inteligência de ameaças estava observando “Exploração global ativa” das vulnerabilidades do SharePoint que estavam sendo usadas para atingir organizações em todo o mundo. Detalhes adicionais desses ataques foram compartilhados através do GitHub da Unidade 42 Repositório de Intel de ameaças.
Um dia depois, o Microsoft Safety Response Heart (MSRC) emitiu um aviso Isso confirma que a falha de segurança está sendo explorada ativamente pelos atores de ameaças. A empresa diz que lançou um patch de segurança para proteger os servidores SharePoint Subscription Version e o SharePoint 2019 contra ataques ativos usando essa exploração.
No momento da publicação desta história, a Microsoft ainda não lançou uma atualização de segurança para os servidores do SharePoint 2016. O aviso da empresa também exorta os clientes a aplicar as atualizações de segurança de julho de 2025, configurar o Interface de varredura antimalware (AMSI) no SharePoint e implante o Microsoft Defender ou soluções similares.
