Threats

ToolShell foi explorado em ataques semanas antes de ser corrigido

De acordo com a Microsoft, agentes de ameaça ligados à China – como o Linen Typhoon, Violet Typhoon e Storm-2603 – têm explorado a vulnerabilidade recentemente divulgada e corrigida (conhecida como ToolShell) há várias semanas

23/07/2025

ToolShell foi explorado em ataques semanas antes de ser corrigido

A Microsoft indicou que atores de ameaça chineses começaram a explorar a vulnerabilidade zero-day no SharePoint – conhecida como ToolShell – semanas antes da correção ter sido lançada.

Segundo a análise levada a cabo pela tecnológica de Redmond, a exploração do ToolShell deverá ter começado a 7 de julho. Os primeiros relatórios públicos de ataques que utilizavam esta vulnerabilidade começaram a circular a 18 de julho, com uma correção a ser disponibilizada a 20 do mesmo mês.

De acordo com a Microsoft, dois cibergrupos apoiados pela China – o Linen Typhoon e o Violet Typhoon – tentaram utilizar as vulnerabilidades do ToolShell para conseguir acesso inicial. Ao mesmo tempo, um terceiro grupo – o Storm-2603 – conduziu os ataques.

Nos ataques vistos pela Microsoft, os cibergrupos exploraram as vulnerabilidades para ultrapassar a autenticação e executar código nos servidores SharePoint on-premises vulneráveis. Os atacantes implementaram uma web Shell para permitir o furto de machine keys e acesso persistente ao sistema comprometido.

Os primeiros ataques terão sido a organizações específicas que têm valor estratégico ou um elevado acesso, nomeadamente infraestrutura crítica, serviços profissionais, manufatura e consultoria tecnologia.

ToolShell Microsoft Zero-Day Vulnerabilidade Exploração