Barracuda full logo

Aviso de Ameaça de Cibersegurança: Vulnerabilidade de dia zero no Microsoft SharePoint

Tópicos:
22 jul. 2025
|
Leavar Michel

Os atacantes estão a explorar ativamente o CVE-2025-53770, uma vulnerabilidade crítica de dia zero no Microsoft SharePoint, para executar código remoto sem autenticação. Esta falha permite que os atacantes implementem malware persistente e potencialmente exfiltrem dados sensíveis de ambientes on-premises não corrigidos. Reveja todos os detalhes neste Aviso de Ameaça de Cibersegurança para ajudar a prevenir a exploração no seu ambiente.

Qual é a ameaça?

CVE-2025-53770 é uma recém-descoberta vulnerabilidade de dia zero que afeta os servidores Microsoft SharePoint locais, amplamente utilizados para colaboração interna e partilha de ficheiros. Esta falha é classificada como uma vulnerabilidade RCE, permitindo que atacantes executem código malicioso nos servidores afetados — sem necessidade de autenticação ou acesso especial.

Os servidores SharePoint muitas vezes tornam-se vulneráveis devido à ausência de patches, configurações críticas incorretas ou serviços expostos voltados para a internet. Como um zero-day, esta exploração foi utilizada ativamente em estado selvagem antes de a Microsoft lançar uma correção, deixando muitos sistemas temporariamente expostos.

Os atacantes aproveitam a falha enviando pedidos HTTP especialmente concebidos para servidores vulneráveis, induzindo-os a executar código arbitrário. Isto pode resultar na instalação de backdoors, exfiltração de dados ou movimento lateral através da rede.

Indicadores de comprometimento incluem:

  • Um web shell malicioso spinstall0.aspx no diretório SharePoint Layouts
  • Pedidos POST invulgares para ToolPane.aspx
  • Processos de trabalho do IIS (w3wp.exe) a gerar processos PowerShell ou cmd
  • Uso elevado de CPU
  • Tráfego de rede suspeito de saída

Por que é digno de nota?

Esta vulnerabilidade está a ser ativamente explorada numa campanha global de ciber espionagem, afetando mais de 100 organizações. Após a exploração bem-sucedida, os atacantes podem roubar chaves criptográficas, obter acesso persistente e contornar os controlos de segurança tradicionais — tudo sem deteção.

Embora a Microsoft tenha lançado patches, muitas organizações continuam vulneráveis devido ao atraso na aplicação dos patches ou à mitigação incompleta. A Microsoft corrigiu as vulnerabilidades relacionadas — CVE-2025-49706 e CVE-2025-49704 — no início deste mês. No entanto, os atacantes já desenvolveram soluções alternativas, destacando a rapidez e sofisticação dos atores de ameaças atuais.

Mesmo as organizações que não usam o SharePoint diretamente estão em risco. Os servidores SharePoint comprometidos podem atuar como plataformas de lançamento para ataques à cadeia de abastecimento, potencialmente impactando parceiros, fornecedores e clientes, amplificando a ameaça em todo o ecossistema.

Qual é a exposição ou o risco?

Se explorado, o CVE-2025-53770 permite que atacantes obtenham acesso remoto não autorizado, executem código malicioso, roubem dados sensíveis e, potencialmente, interrompam operações empresariais críticas. As consequências vão além do comprometimento técnico. As vítimas podem enfrentar escrutínio regulatório e multas, responsabilidade legal, danos à marca e reputação, tempo de inatividade operacional e esforços de resposta e recuperação de incidentes.

Um servidor SharePoint comprometido pode também ser aproveitado para uma intrusão adicional na rede, aumentando o risco de ransomware, espionagem ou roubo de propriedade intelectual. Estes efeitos em cascata tornam a deteção e mitigação rápidas cruciais.

Quais são as recomendações?

A Barracuda recomenda as seguintes ações para se proteger contra esta ameaça:

  • Aplique as seguintes atualizações de emergência para o Microsoft SharePoint:
    • A atualização KB5002754 para o Microsoft SharePoint Server 2019 Core e KB5002753 para o Microsoft SharePoint Server 2019 Language Pack.
    • A atualização KB5002760 para Microsoft SharePoint Enterprise Server 2016 e KB5002759 para o Microsoft SharePoint Enterprise Server 2016 Language Pack.
    • A atualização KB5002768 para o Microsoft SharePoint Subscription Edition.
  • Rodeie as chaves da máquina do SharePoint após a atualização:
    • Manualmente via PowerShell: Para atualizar as chaves da máquina para uma aplicação web usando PowerShell e implantá-las em uma farm do SharePoint:
      • Gere a chave da máquina no PowerShell usando Set-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
      • Implemente a chave da máquina na farm no PowerShell usando Update-SPMachineKey -WebApplication <SPWebApplicationPipeBind>.
    • Manualmente via Administração Central: Ative o trabalho temporizado de Rotação da Chave da Máquina executando os seguintes passos:
      • Navegue para o site de Administração Central.
      • Vá para Monitoring -> Rever definição do trabalho.
      • Procure por Machine Key Rotation Job e selecione Run Now.
      • Após a rotação estar concluída, reinicie o IIS em todos os servidores SharePoint usando iisreset.exe.
  • Analisar registos e o sistema de ficheiros para a presença de ficheiros maliciosos ou tentativas de exploração, incluindo
    • Criação do ficheiro C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx.
    • Registos IIS mostrando um pedido POST para _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx e um referenciador HTTP de _layouts/SignOut.aspx.
    • Execute a seguinte consulta do Microsoft 365 Defender para verificar se o ficheiro spinstall0.aspx foi criado no seu servidor.
      • eviceFileEvents
      • | onde FolderPath tem “MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS”
      • | onde FileName =~ "spinstall0.aspx"
      • ou FileName tem “spinstall0”
      • | projeto Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
      • | ordenar por Carimbo de data/hora desc
  • Restringir a exposição à internet dos servidores SharePoint sempre que possível. Utilizar firewalls, VPNs ou controlos de acesso de confiança zero para limitar o acesso apenas a utilizadores e redes de confiança.
  • Ative o registo detalhado e monitorize a atividade do servidor SharePoint para comportamentos invulgares, como carregamentos de ficheiros inesperados ou alterações, e ligações a partir de endereços IP desconhecidos.
  • Isole os servidores SharePoint de outros sistemas internos críticos para reduzir o risco de movimento lateral se um atacante conseguir acesso.
  • Sensibilizar sobre esta vulnerabilidade e reforçar as melhores práticas para aplicar correções e manter configurações seguras.

Referências

Para obter informações mais detalhadas sobre as recomendações, por favor visite os seguintes links:

Subscreva o Blogue Barracuda
Leavar Michel

Leavar Michel é Analista de Cibersegurança na Barracuda. Ele é um especialista em segurança, trabalhando na nossa Equipa Azul dentro do nosso Centro de Operações de Segurança. Leavar apoia a entrega do nosso serviço XDR e tem grande competência na análise de eventos de segurança para detetar ameaças cibernéticas, ajudando a proteger os nossos parceiros e os seus clientes.

Artigos Relacionados:
EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
 Malware Brief: XWorm, TrickMo, and Remcos
Malware Brief: XWorm, TrickMo, and Remcos
 Threat Spotlight: Desvendando um novo kit de phishing furtivo que tem como alvo o Microsoft 365
Threat Spotlight: Desvendando um novo kit de phishing furtivo que tem como alvo o Microsoft 365
 Cibercriminosos ficando mais jovens — e mais perigosos
Cibercriminosos ficando mais jovens — e mais perigosos

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.