
Alerta crítico de segurança cibernética: explorações direcionadas a servidores SharePoint locais
No último fim de semana, diversas agências de segurança cibernética divulgaram uma série de ataques cibernéticos em andamento que visam especificamente ambientes locais do SharePoint Server, explorando vulnerabilidades não corrigidas. Notavelmente, o CVE-2025-53770, comumente conhecido como ToolShell, permite acesso não autorizado a servidores SharePoint.
Resposta da Microsoft às ameaças ativas
A Microsoft está ciente dessas explorações ativas e confirmou que mitigações parciais foram implementadas em sua Atualização de Segurança de julho.É importante ressaltar que essas vulnerabilidades afetam exclusivamente as instalações locais do SharePoint Server, e os clientes que usam o SharePoint Online via Microsoft 365 não são afetados.
Acesso a atualizações de segurança
As organizações podem obter a atualização de segurança de julho relevante para seus sistemas por meio dos seguintes links:
- Edição de assinatura do Microsoft SharePoint Server – KB5002768
- Microsoft SharePoint Server 2019 – KB5002754
Estratégias de mitigação recomendadas
Enquanto uma correção abrangente está em andamento, os usuários são incentivados a adotar as seguintes medidas preventivas:
- Utilize versões compatíveis do SharePoint Server local.
- Instale todas as atualizações de segurança disponíveis, com foco na atualização de segurança de julho de 2025.
- Ative e configure corretamente a Interface de Verificação Antimalware (AMSI), garantindo que haja uma solução antivírus compatível, como o Microsoft Defender Antivirus.
- Implemente o Microsoft Defender para proteção de endpoint ou uma solução comparável de detecção de ameaças de endpoint.
- Gire regularmente as chaves da máquina ASP. NET para o SharePoint Server.
Detecção e Identificação de Ameaças
O Microsoft Defender Antivirus tem a capacidade de identificar se um servidor foi afetado por essa falha de segurança. Os sistemas afetados podem ser sinalizados com os seguintes nomes de detecção:
- Exploração:Script/SuspSignoutReq. A
- Trojan:Win32/HijackSharePointServer. A
Resultados da pesquisa e apelo urgente à ação
“Nossa análise envolveu a varredura de mais de 8.000 servidores SharePoint globalmente, descobrindo várias instâncias de comprometimentos ativos, principalmente por volta das 18:00 UTC de 18 de julho e às 07:30 UTC de 19 de julho”, afirmou a empresa de pesquisa de segurança cibernética, Eye.
Dada a natureza crítica dessa vulnerabilidade, é essencial que todos os administradores do SharePoint local implementem as atualizações de segurança mais recentes e sigam rigorosamente as estratégias de mitigação recomendadas sem demora.
Deixe um comentário