This post is also available in: Português
Uma vulnerabilidade crítica no Microsoft SharePoint Server, identificada como CVE-2025-53770, foi recentemente corrigida após ter sido explorada ativamente por cibercriminosos. A falha, que permite execução remota de código (RCE) sem autenticação, foi classificada com pontuação CVSS 9.8, refletindo seu potencial destrutivo. Antes da liberação do patch, a brecha já havia sido utilizada em ataques em larga escala, configurando um caso típico de zero-day.
O que é a CVE-2025-53770 e como ela funciona
A falha reside em como o SharePoint Server lida com requisições feitas a componentes específicos da aplicação. Ao explorar essa brecha, um atacante remoto pode enviar requisições maliciosas para executar comandos arbitrários diretamente no servidor, com privilégios elevados — e tudo isso sem precisar estar autenticado. A vulnerabilidade afeta instâncias expostas à internet e pode ser usada como ponto de entrada inicial para ataques mais complexos, incluindo movimentação lateral, sequestro de dados e instalação de malware persistente.
Essa capacidade de execução remota, combinada com a ausência de autenticação e a ampla adoção do SharePoint Server em ambientes corporativos, criou a tempestade perfeita para a exploração massiva.
Segundo a Microsoft, não há indícios de que a falha tenha sido divulgada publicamente antes de sua detecção em campanhas de ataque — o que reforça sua natureza como um verdadeiro dia zero.
Exploração ativa antes da correção
Diversos relatos de empresas de segurança e veículos especializados indicam que grupos maliciosos começaram a explorar a CVE-2025-53770 bem antes do anúncio público da vulnerabilidade. As campanhas identificadas utilizavam varreduras automatizadas para localizar servidores vulneráveis e, uma vez comprometidos, injetar cargas maliciosas que davam controle remoto total aos invasores.
A CISA e o MSRC confirmaram a exploração ativa, destacando que os ataques não se limitavam a setores específicos. Organizações públicas e privadas, inclusive em ambientes altamente sensíveis, estavam entre os alvos. Grupos de ransomware e APTs (ameaças persistentes avançadas) foram apontados como possíveis responsáveis pelas campanhas mais agressivas.
Microsoft lança patch emergencial
Diante da escalada dos ataques, a Microsoft agiu fora de seu ciclo regular de atualizações e lançou uma correção emergencial, disponível no Microsoft Update Guide. A empresa alerta que medidas de mitigação anteriormente recomendadas — como isolar os servidores da internet ou aplicar regras de firewall — não substituem a aplicação do patch, que é a única forma eficaz de corrigir a falha.
A atualização corrige o componente vulnerável e ajusta a forma como o SharePoint Server processa requisições que poderiam ser manipuladas maliciosamente. O patch já está disponível para todas as versões afetadas e deve ser aplicado imediatamente por administradores de sistemas.
Riscos para quem ainda não atualizou
Servidores SharePoint expostos que ainda não foram atualizados permanecem altamente vulneráveis à exploração — inclusive de forma automatizada. Isso significa que basta estar online e acessível para que sistemas comprometidos por atacantes façam o trabalho. Os riscos vão desde o roubo de informações sensíveis até o comprometimento total da rede por meio da movimentação lateral.
Organizações devem não apenas aplicar a correção, mas também revisar logs em busca de atividades suspeitas, reforçar os controles de acesso e avaliar se há necessidade de auditorias mais profundas — especialmente se os sistemas permaneceram expostos por muito tempo antes da correção.
This post is also available in: Português
