Durante o último fim de semana, várias agências de cibersegurança soaram o alarme sobre uma nova vaga de ataques informáticos. O alvo são os clientes que utilizam o SharePoint Server em instalações próprias (on-premises), com os atacantes a explorarem vulnerabilidades críticas que não foram corrigidas.
A falha, identificada como CVE-2025-53770 e apelidada de "ToolShell", é particularmente perigosa, pois permite que um atacante obtenha controlo total sobre os servidores SharePoint sem qualquer tipo de autenticação.
Microsoft lança correção parcial e deixa um aviso
A Microsoft já confirmou estar ciente destes ataques ativos e, em resposta, publicou uma nota no seu blog oficial. A empresa informa que estes problemas foram parcialmente resolvidos com a Atualização de Segurança de julho. É crucial notar que a vulnerabilidade afeta exclusivamente as versões locais do SharePoint Server. A Microsoft fez questão de sublinhar que o SharePoint Online, incluído no Microsoft 365, não é afetado por esta falha.
Os administradores podem descarregar a atualização de segurança de julho para as seguintes versões:
Microsoft SharePoint Server Subscription Edition - KB5002768
Microsoft SharePoint Server 2019 - KB5002754
Como proteger os seus servidores de ataques
Enquanto a Microsoft trabalha numa correção definitiva para resolver completamente a vulnerabilidade, os administradores devem seguir imediatamente um conjunto de passos de mitigação para proteger os seus sistemas:
Utilizar apenas versões suportadas do SharePoint Server.
Aplicar as atualizações de segurança mais recentes, incluindo a de julho de 2025.
Garantir que a Interface de Análise Antimalware (AMSI) está ativa e configurada corretamente, em conjunto com uma solução de antivírus apropriada, como o Microsoft Defender Antivirus.
Implementar uma solução de proteção de terminais (endpoint) como o Microsoft Defender para Endpoint ou uma ferramenta equivalente.
Fazer a rotação das chaves de máquina ASP.NET do servidor SharePoint.
A Microsoft acrescentou ainda que o Microsoft Defender Antivirus já consegue detetar se um servidor foi comprometido por esta vulnerabilidade, identificando as ameaças com os seguintes nomes:
Exploit:Script/SuspSignoutReq.A
Trojan:Win32/HijackSharePointServer.A
Dezenas de sistemas já foram comprometidos
A urgência da situação foi reforçada pela empresa de investigação em cibersegurança Eye. "A nossa equipa analisou mais de 8000 servidores SharePoint em todo o mundo. Descobrimos dezenas de sistemas ativamente comprometidos, provavelmente nos dias 18 de julho, por volta das 18:00 UTC, e 19 de julho, por volta das 07:30 UTC", escreveu a empresa.
Face à exploração ativa desta falha "ToolShell", é imperativo que todos os administradores de SharePoint em instalações locais apliquem as atualizações de segurança e implementem as medidas de mitigação recomendadas sem demora.
Nenhum comentário
Seja o primeiro!