Microsoft lança correção de emergência para vulnerabilidade zero-day explorada no SharePoint

A Microsoft lançou um alerta urgente este sábado para os clientes que têm servidores SharePoint onde indicou que há ataques ativos a explorar estas vulnerabilidades zero-day (CVE-2025-53770 e CVE-2025-53771) em que uma delas tem uma pontuação de 9.8, considerada crítica. A CISA acrescentou esta vulnerabilidade à lista de vulnerabilidades exploradas conhecidas.

Intitulada “ToolShell”, a vulnerabilidade recebeu uma correção de emergência neste domingo. A Microsoft indica ser uma variante da vulnerabilidade CVE-2025-49706. As equipas de segurança devem tomar ações imediatas para implementar as mitigações.

Em maio, durante uma competição de hacking, foi descoberta uma vulnerabilidade zero-day chamada “ToolShell” que permite executar código remotamente no Microsoft SharePoint. Estas vulnerabilidades foram corrigidas no Patch Tuesday de julho, mas, no entanto, cibergrupos conseguiram descobrir duas outras vulnerabilidades zero-day que ultrapassam as correções da Microsoft para as falhas antigas. Através destas novas falhas, agentes de ameaça têm conduzido ataques contra servidores em todo o mundo, impactando, pelo menos, mais de meia centenas de organizações.

Até à publicação deste artigo, não foi disponibilizada uma correção para o SharePoint 2016. A Microsoft refere que estas vulnerabilidade impactam, apenas, a servidores SharePoint on-premises e que o SharePoint Online no Microsoft 365 não é impactado. Este domingo, a tecnológica de Redmond lançou correções para o Microsoft SharePoint Server Subscription Edition e para o Microsoft SharePoint Server 2019.

Várias equipas de threat intelligence – nomeadamente da Google e da Palo Alto Networks – descobriram cibergrupos a explorar a vulnerabilidade e a instalar webshells nos servidores das vítimas que podem permitir o acesso não autenticado e persistente, representando um risco significativo para as organizações afetadas.