Na noite de 20 de julho de 2025, o Washington Post revelou que uma vulnerabilidade crítica no Microsoft SharePoint Server—classificada como “ToolShell” com a designação CVE‑2025‑53770—foi explorada por hackers em um ataque global que afetou governos, empresas e instituições de pesquisa em vários continentes (Straits Times, The Hacker News, The Washington Post).
O que é a falha e como foi descoberta
Trata-se de um zero‑day (falha desconhecida até então), variante de um bug anteriormente divulgado, que permite execução remota de código sem necessidade de autenticação (The Hacker News). Ao explorar uma falha na deserialização de dados não confiáveis, atacantes podem instalar “web shells”, exfiltrar chaves criptográficas e permanecer ativos mesmo após patches (The Hacker News).
Pesquisadores da Eye Security e da Palo Alto Unit 42 identificaram dezenas de servidores comprometidos, entre eles agências federais e estaduais dos EUA, universidades, companhias de energia e até operadoras de telecomunicações na Ásia e Europa (The Washington Post). Segundo o Washington Post, ao menos dois órgãos federais dos EUA foram afetados, bem como um órgão governamental da Espanha (The Washington Post).
Resposta de autoridades e Microsoft
A Cybersecurity and Infrastructure Security Agency (CISA) emitiu alerta oficial em 20 de julho, recomendando mitigação imediata, como ativar o AMSI e o Microsoft Defender AV nos servidores SharePoint, e desconectar sistemas expostos da Internet se não puderem aplicar as proteções (CISA).
O FBI confirmou que está ciente dos ataques e trabalhando em conjunto com agências federais e setor privado (Reuters).
A Microsoft reconheceu a falha, descreveu o problema como associado à deserialização insegura, e lançou um patch para a Subscription Edition do SharePoint. Atualizações para as versões 2016 e 2019 ainda estão em desenvolvimento (Reuters). A empresa recomendou fortemente que clientes apliquem mitigação ou isolem servidores vulneráveis até a disponibilização dos patches (Reuters).
Impactos observados
- Acesso a chaves criptográficas: Hackers conseguiram acesso à ValidationKey e DecryptionKey, permitindo persistência mesmo após atualização (The Washington Post).
- Exfiltração e exclusão de arquivos: Em alguns casos, documentos públicos e confidenciais foram roubados ou removidos (The Washington Post).
- Escala global: Atingiu servidores na América do Norte, Ásia, Europa, em um total estimado de dezenas de milhares de sistemas em risco (The Washington Post, Reuters).
Recomendações e próximos passos
Autoridades e especialistas em segurança estão orientando:
- Aplicar patches imediatamente para SharePoint Subscription Edition (The Hacker News, Reuters).
- Habilitar AMSI e Microsoft Defender AV para proteção adicional (CISA).
- Executar hunting proativo para identificar web shells e verificar presença de tráfego malicioso (The Hacker News).
- Isolar servidores sem mitigação ou patch aplicável (Reuters, Lowyat.NET).
- Organizações afetadas devem compartilhar incidentes com CISA e o FBI (CISA).
Especialistas alertam que, mesmo após aplicar o patch, sistemas comprometidos ainda correm risco, visto que os invasores podem ter instalado backdoors persistentes (The Washington Post).
Transparência e credibilidade
- CISA, órgão oficial do governo dos EUA, confirmou a exploração ativa de CVE‑2025‑53770 (CISA).
- A Microsoft emitiu alertas e liberou patch parcial; outras atualizações estão em andamento (Reuters).
- O Washington Post, fonte primária da divulgação, detalhou alcance global dos ataques (The Washington Post, Reuters).
Conclusão
A exploração da falha no SharePoint representa um dos maiores incidentes recentes em softwares corporativos da Microsoft. Trata-se de um alerta gravíssimo para qualquer organização que use servidores on‑premise, com risco elevado de espionagem, modificação ou perda de dados sensíveis. A velocidade da resposta — tanto da Microsoft, quanto de CISA e FBI — reforça a gravidade do cenário.
Sua empresa utiliza SharePoint on‑premise? Já aplicou os patches ou precisa se proteger? Compartilhe sua experiência nos comentários e acompanhe o Tutitech para mais análises sobre segurança digital!
Fontes
The Washington Post, CISA, Microsoft, Eye Security, Palo Alto Networks Unit 42, Reuters
Aviso de transparência: todas as informações são baseadas em fontes primárias e confiáveis, como alertas oficiais da CISA, publicações do Washington Post e comunicados da Microsoft. Cita-se claramente a condição de zero‑day e origem dos dados. Informações sobre danos específicos são baseadas em relatos oficiais e técnicos disponíveis publicamente.