A Microsoft liberou no domingo, 20 de julho de 2025, uma atualização emergencial para corrigir uma falha crítica no SharePoint que está sendo ativamente explorada por hackers. Além disso, a empresa detalhou outra vulnerabilidade no sistema, que recebeu “proteções mais robustas” nas novas correções.
Segundo a gigante de tecnologia, ataques direcionados já estavam em andamento contra clientes do SharePoint Server local, explorando brechas parcialmente corrigidas no Patch Tuesday de julho.
Duas falhas graves sob ataque
A principal vulnerabilidade, CVE-2025-53770, recebeu pontuação CVSS 9.8 e está ligada a um caso de execução remota de código (RCE) causado pela desserialização de dados não confiáveis. Já a segunda falha, CVE-2025-53771 (CVSS 6.3), envolve spoofing por path traversal e foi reportada por um pesquisador anônimo.
Ambas as falhas podem ser encadeadas com vulnerabilidades anteriores (CVE-2025-49704 e CVE-2025-49706) para facilitar a execução de código remoto. Essa cadeia de exploração, apelidada de ToolShell, foi inicialmente abordada na atualização de julho.
A Microsoft reforçou que as novas correções oferecem proteções mais robustas do que os patches anteriores, especialmente contra variantes da falha.
Quem está vulnerável?
As falhas afetam somente o SharePoint Server local, não impactando o SharePoint Online no Microsoft 365. As atualizações contemplam:
- Microsoft SharePoint Server 2019 (16.0.10417.20027)
- Microsoft SharePoint Enterprise Server 2016 (16.0.5508.1000)
- Microsoft SharePoint Server Subscription Edition
- Microsoft SharePoint Server 2019 Core
- Microsoft SharePoint Server 2016 (versão pendente)
Recomendação urgente
A Microsoft orienta que administradores:
- Atualizem imediatamente seus servidores SharePoint com os patches mais recentes.
- Ativem a Interface de Verificação Antimalware (AMSI) em modo completo.
- Girem as chaves de máquina ASP.NET do servidor e reiniciem o IIS.
- Implementem o Microsoft Defender for Endpoint (ou soluções equivalentes).
Ataques em larga escala já começaram
Segundo a Eye Security, pelo menos 54 organizações já foram comprometidas, incluindo bancos, universidades, hospitais e órgãos governamentais, com os ataques começando por volta de 18 de julho.
A CISA (Agência de Segurança Cibernética dos EUA) adicionou a CVE-2025-53770 ao catálogo de vulnerabilidades ativamente exploradas, obrigando órgãos federais a corrigirem a falha até 21 de julho.
A Palo Alto Networks Unit 42 classificou a campanha como “de alto impacto e em andamento”, alertando que os invasores estão contornando MFA e SSO, roubando dados confidenciais, chaves criptográficas e criando backdoors persistentes.
“Se seu SharePoint local está exposto à internet, presuma que já foi comprometido”, alertou Michael Sikorski, CTO da Unit 42. “Aplicar apenas o patch não garante a eliminação completa da ameaça.”
Risco ampliado
O maior perigo, segundo especialistas, está na integração profunda do SharePoint com outros serviços da Microsoft, como Office, Teams, OneDrive e Outlook. Uma invasão bem-sucedida no SharePoint pode abrir caminho para comprometer toda a rede corporativa.
A orientação mais drástica, caso a aplicação do patch não seja imediata, é desconectar o SharePoint da internet para evitar novos comprometimentos.
