Em 25 de julho de 2025, a Microsoft confirmou que as vulnerabilidades CVE-2025-53770 e CVE-2025-53771, reportadas em seu blog de segurança, estão sendo exploradas pelo grupo Storm-2603 para disseminar o ransomware Warlock, intensificando a campanha maliciosa conhecida como “ToolShell”. A investida, detalhada por The Hacker News e Computer Weekly, já comprometeu mais de 400 organizações, incluindo a Agência de Armas Nucleares dos EUA (NNSA), segundo The Washington Post. As falhas, que permitem execução remota de código (RCE) sem autenticação, afetam servidores SharePoint locais (on-premises) nas versões 2016, 2019 e Subscription Edition, mas não o SharePoint Online no Microsoft 365. A Microsoft recomenda a aplicação imediata das atualizações de segurança KB5002753, KB5002754, KB5002759, KB5002760 e KB5002768, conforme o MSRC Blog.
A vulnerabilidade CVE-2025-53770 (CVSS 9.8) é uma falha crítica de desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário remotamente, enquanto a CVE-2025-53771 (CVSS 6.3) é uma vulnerabilidade de path traversal que facilita ataques de spoofing. Ambas são variantes de falhas anteriores (CVE-2025-49704 e CVE-2025-49706), parcialmente corrigidas no Patch Tuesday de julho de 2025, conforme Unit 42. A campanha ToolShell, iniciada em 7 de julho e intensificada em 18 de julho, explora essas vulnerabilidades por meio de requisições POST ao endpoint ToolPane.aspx, usando um cabeçalho Referer falsificado (SignOut.aspx) para contornar autenticação, segundo Wiz Blog. Após a exploração, os atacantes implantam uma web shell chamada spinstall0.aspx, que extrai chaves criptográficas (MachineKeys), permitindo acesso persistente mesmo após patches, conforme Cloudflare.
O grupo Storm-2603, baseado na China e com laços históricos com o ransomware LockBit, foi identificado pela Microsoft e Mandiant como responsável por implantar o Warlock, um ransomware que criptografa dados sensíveis e exige resgate, segundo SOCRadar. A Check Point Research relatou mais de 4.600 tentativas de ataque contra 300 organizações, incluindo setores como governo, telecomunicações e tecnologia, em regiões como América do Norte e Europa Ocidental. A Shadowserver Foundation identificou 424 servidores SharePoint vulneráveis em 23 de julho, com maior prevalência nos EUA, Irã e Alemanha, conforme The Hacker News. Além do Warlock, os atores chineses Linen Typhoon e Violet Typhoon exploram as mesmas falhas para espionagem, segundo Computer Weekly.
A CISA adicionou a CVE-2025-53770 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 20 de julho, exigindo que agências federais apliquem patches até 21 de julho, conforme CISA. A Microsoft recomenda, além das atualizações, habilitar a integração do Antimalware Scan Interface (AMSI) e implantar o Microsoft Defender Antivirus em todos os servidores SharePoint. Para sistemas sem AMSI, a orientação é desconectar servidores expostos à internet até a aplicação das mitigações, segundo Microsoft Security Blog. Organizações devem rotacionar as chaves ASP.NET (MachineKeys) antes e após os patches e reiniciar o IIS, conforme Qualys. A presença de spinstall0.aspx em diretórios como C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS é um indicador de comprometimento, segundo Canadian Centre for Cyber Security.
O impacto é agravado pela integração do SharePoint com serviços como Teams, OneDrive e Outlook, permitindo que um ataque se espalhe pela rede, conforme Unit 42. A exploração, que não exige interação do usuário, foi comparada a vulnerabilidades históricas como EternalBlue, sugerindo que permanecerá uma ameaça por anos, segundo SANS Institute. A transparência é essencial: as informações foram verificadas em fontes confiáveis, incluindo Microsoft Security Blog, The Hacker News, Unit 42, CISA, Wiz Blog, Cloudflare, SOCRadar, Check Point Blog, Computer Weekly, The Washington Post, Qualys e Canadian Centre for Cyber Security. Embora os patches estejam disponíveis, a persistência dos atacantes e a exposição de servidores não corrigidos mantêm o risco elevado.
O que você acha da exploração dessas vulnerabilidades e do impacto do ransomware Warlock? Deixe seu comentário e compartilhe sua visão sobre como proteger infraestruturas críticas!
Fontes: Microsoft Security Blog, The Hacker News, Unit 42, CISA, Wiz Blog, Cloudflare, SOCRadar, Check Point Blog, Computer Weekly, The Washington Post, Qualys, Canadian Centre for Cyber Security, SANS Institute
Portuguese 
English