Hackers com alegadas ligações ao governo chinês estão por trás de uma nova e preocupante onda de ataques informáticos. O alvo é uma vulnerabilidade crítica, do tipo "zero-day", no Microsoft SharePoint, que já permitiu comprometer dezenas de organizações a nível mundial através da intrusão nos seus servidores locais.
O que é o ataque "ToolShell"?
A cadeia de exploração, apelidada de "ToolShell", aproveita um conjunto de falhas para ganhar acesso não autenticado aos sistemas. As vulnerabilidades, identificadas inicialmente como CVE-2025-49706 e CVE-2025-49704, foram demonstradas pela primeira vez durante o concurso de hacking Pwn2Own em Berlim.
Segundo Charles Carmakal, CTO da Mandiant Consulting da Google Cloud, a situação é crítica. "Avaliamos que pelo menos um dos atores responsáveis por esta exploração inicial é um ator de ameaças ligado à China". "É fundamental compreender que múltiplos atores estão agora a explorar ativamente esta vulnerabilidade." Carmakal antecipa que a tendência irá continuar, com outros grupos de hackers a juntarem-se aos ataques.
A empresa de cibersegurança holandesa Eye Security foi a primeira a detetar os ataques, revelando que pelo menos 54 organizações já foram comprometidas, incluindo várias multinacionais e entidades governamentais.
Microsoft responde com patches de emergência
Em resposta à ameaça, a Microsoft agiu rapidamente. Durante as atualizações de julho (Patch Tuesday), a empresa corrigiu as duas falhas e, durante o fim de semana, atribuiu novos identificadores (CVE-2025-53770 e CVE-2025-53771) para as vulnerabilidades "zero-day" que estavam a ser usadas para atacar servidores SharePoint, mesmo os que se encontravam totalmente atualizados.
Foram também lançados patches de emergência para as versões SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016, de forma a mitigar as falhas que permitem a execução remota de código (RCE).
Alerta máximo: Exploit torna-se público
A situação agravou-se esta segunda-feira, quando uma prova de conceito (PoC) do exploit para a vulnerabilidade CVE-2025-53770 foi publicada no GitHub. Esta partilha pública do código malicioso facilita a entrada de mais hackers e grupos criminosos nos ataques em curso, aumentando exponencialmente o risco para as organizações que ainda não aplicaram as devidas correções.
Reforçando a gravidade da situação, a agência de cibersegurança e segurança de infraestruturas dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de falhas conhecidas e exploradas ativamente. Foi emitida uma ordem para que todas as agências federais apliquem os patches de segurança de imediato.
A CISA alerta que a exploração "ToolShell" permite aos atacantes "aceder totalmente ao conteúdo do SharePoint, incluindo sistemas de ficheiros e configurações internas, e executar código através da rede". A recomendação é clara e urgente: todas as organizações com servidores Microsoft SharePoint locais devem tomar medidas imediatas para se protegerem.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech