400 vítimas da vulnerabilidade do Microsoft SharePoint são apenas a ponta do iceberg

Apesar dos apelos da Microsoft para que os usuários do SharePoint Server instalem as atualizações de software mais recentes para se protegerem contra o ransomware Warlock, que pode ser introduzido em seus sistemas por meio da cadeia de vulnerabilidades do ToolShell, nem todas as empresas o fizeram e continuam vulneráveis a hackers, relata a Computer Weekly.

Em 19 de julho de 2025, o Microsoft Security Response Center (MSRC) publicou uma publicação no blog sobre ataques ativos usando as vulnerabilidades CVE-2025-49706 e CVE-2025-49704, que afetam apenas servidores SharePoint locais, mas não o SharePoint Online no Microsoft 365. A Microsoft anunciou o lançamento de novas atualizações de segurança abrangentes para todas as versões com suporte do SharePoint Server (Edições de Assinatura, 2019 e 2016) que protegem contra essas e as novas vulnerabilidades CVE-2025-53770 e CVE-2025-53771. A Microsoft recomenda a instalação imediata das atualizações.

«A Kaspersky Lab descobriu que as novas vulnerabilidades estão relacionadas à CVE-2020-1147, descoberta em 2020 e aparentemente sem correção adequada. De acordo com a Equipe Global de Pesquisa e Análise da Kaspersky Lab (Kaspersky GReAT), o exploit para a CVE-2020-1147 é semelhante ao exploit ToolShell.

Fonte da imagem: Mika Baumeister/unsplash.com

A empresa afirmou anteriormente que os exploradores das vulnerabilidades incluíam os supostos grupos apoiados pelo governo chinês Linen Typhoon e Violet Typhoon, bem como o grupo ainda não classificado Storm-2603, que já demonstrou vínculos com grupos de ransomware como o LockBit. Diversos ataques cibernéticos a usuários do SharePoint Server foram vinculados a ransomware. Com a conexão com o Warlock, a Microsoft atualizou sua atribuição, indicadores de comprometimento (IoC), diretrizes de mitigação e proteção, além de detecção e busca de ameaças.

De acordo com a Shadowserver Foundation, em 23 de julho, havia cerca de 600 instâncias do SharePoint acessíveis pela internet no Reino Unido, com o número se aproximando de 11.000 em todo o mundo. Cerca de 424 instâncias do SharePoint apresentam as vulnerabilidades de segurança CVE-2025-53770 e CVE-2025-53771. Cerca de um quarto delas está nos EUA. Em um comunicado, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido afirmou que a Microsoft e o NCSC estão cientes da exploração e estão presenciando ataques ativos contra o SharePoint Server.

Kevin Robertson, diretor de tecnologia da empresa de detecção e resposta gerenciadas (MDR) Acumen Cyber, afirmou que a falta de patches para as vulnerabilidades CVE-2025-49704 e CVE-2025-29706 descobertas anteriormente, que resolveriam completamente os problemas anteriores, deixou as organizações completamente expostas. Ele observou que os dados disponíveis publicamente sobre 400 vítimas comprometidas podem ser apenas uma gota no oceano. Além disso, nem todas as organizações instalaram o patch ainda, o que significa que seus ambientes ainda estão completamente vulneráveis.