Vulnerabilidade de Dia Zero CVE-2025-53770
Uma falha grave de segurança no Microsoft SharePoint Server tornou-se o foco de uma campanha contínua de ataques cibernéticos em larga escala. Rastreada como CVE-2025-53770 com uma pontuação CVSS de 9,8, essa vulnerabilidade é classificada como de dia zero e está intimamente relacionada à CVE-2025-49704 (CVSS 8,8), um bug de injeção de código e execução remota de código corrigido durante as atualizações do Patch Tuesday de julho de 2025 da Microsoft. A falha decorre da desserialização de dados não confiáveis, o que permite que invasores executem código malicioso remotamente e sem a devida autorização.
Índice
Ataques ativos e sistemas impactados
Pesquisadores confirmaram que cibercriminosos estão explorando ativamente essa vulnerabilidade contra instâncias locais do SharePoint Server. É importante ressaltar que o SharePoint Online no Microsoft 365 permanece inalterado. Os invasores estão explorando a maneira como o SharePoint lida com objetos não confiáveis durante a desserialização, permitindo que executem comandos antes da autenticação do usuário. Uma vez dentro do sistema, os invasores podem gerar payloads falsificados usando chaves de máquina roubadas, permitindo movimentação lateral e acesso persistente. Isso torna a detecção e a mitigação desafiadoras, pois sua atividade pode imitar o tráfego legítimo do SharePoint.
Cadeias de exploração complexas
Evidências sugerem que a CVE-2025-53770 está sendo usada em conjunto com outras falhas, incluindo a CVE-2025-49706 (um bug de spoofing com pontuação CVSS de 6,3) e a CVE-2025-49704, para formar uma cadeia de exploração avançada conhecida como ToolShell. Os invasores utilizam a CVE-2025-49706 para entregar cargas úteis de execução remota de código que exploram a CVE-2025-49704. Adicionar '_layouts/SignOut.aspx' como referenciador HTTP supostamente transforma a CVE-2025-49706 em CVE-2025-53770, permitindo um processo de exploração mais simplificado.
Os ataques geralmente envolvem payloads ASPX entregues via PowerShell, com o objetivo de roubar a configuração MachineKey do servidor (ValidationKey e DecryptionKey). Essas chaves são cruciais porque permitem que invasores criem payloads maliciosos __VIEWSTATE que o SharePoint aceitará como válidos, transformando efetivamente qualquer solicitação autenticada em uma oportunidade de execução remota de código.
Escala de Compromisso
Até o momento, mais de 85 servidores SharePoint em todo o mundo foram comprometidos, impactando pelo menos 29 organizações, incluindo corporações multinacionais e agências governamentais. Uma vez que os invasores tenham as chaves criptográficas, a remediação se torna muito mais complexa. Mesmo após a aplicação de um patch de segurança, as chaves roubadas ainda podem permitir que os invasores mantenham o acesso, a menos que sejam rotacionadas ou reconfiguradas manualmente.
Medidas de mitigação
Até que um patch oficial fosse disponibilizado, a Microsoft recomendou que as organizações habilitassem a integração da Interface de Verificação Antimalware (AMSI) no SharePoint. Para clientes que não conseguiram ativar a AMSI, foi altamente recomendável desconectar os servidores vulneráveis do SharePoint da internet.
Após relatos de exploração em andamento, a Microsoft lançou patches para o CVE-2025-53770 e uma falha recém-descoberta, o CVE-2025-53771, para proteger sistemas vulneráveis.
Aviso da CISA
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta confirmando a exploração ativa da vulnerabilidade CVE-2025-53770. Essa vulnerabilidade permite que invasores executem código remotamente e sem autenticação pela rede, representando uma grave ameaça a qualquer ambiente SharePoint sem patches.
