Uma nova e perigosa vulnerabilidade SharePoint está sendo ativamente explorada por cibercriminosos. As falhas CVE-2025-53770 e CVE-2025-53771, ambas do tipo zero-day, permitem execução remota de código (RCE) em servidores Microsoft SharePoint on-premises, ou seja, aqueles instalados e gerenciados localmente. A situação é tão crítica que até mesmo a CISA (Cybersecurity and Infrastructure Security Agency) dos EUA já emitiu um alerta oficial.
Neste artigo, explicaremos com clareza como o ataque funciona, quais versões do SharePoint estão vulneráveis, indicadores de comprometimento que você deve buscar em seus sistemas e, o mais importante, um passo a passo técnico sobre como proteger seu ambiente agora mesmo.
Essas falhas se tornam ainda mais graves pelo fato de serem bypass de correções anteriores lançadas em julho para vulnerabilidades reveladas na competição Pwn2Own. Isso mostra que os atacantes estão evoluindo suas táticas rapidamente, aproveitando brechas residuais deixadas por atualizações incompletas.
O que está acontecendo? Entenda as falhas CVE-2025-53770 e CVE-2025-53771
As vulnerabilidades CVE-2025-53770 e CVE-2025-53771 exploram uma falha lógica que permite burlar os patches anteriores destinados a corrigir as CVE-2025-49706 e CVE-2025-49704, descobertas e demonstradas durante o evento Pwn2Own.
Essas novas falhas afetam apenas servidores Microsoft SharePoint on-premises, ou seja, instalações locais sob controle direto da empresa. A boa notícia é que o SharePoint Online (Microsoft 365) não é impactado por esse problema.
O grande risco dessas vulnerabilidades está na capacidade dos invasores de executar código remotamente sem autenticação, o que pode permitir o controle completo do servidor e acesso a dados confidenciais.
Como o ataque de execução remota de código (RCE) funciona
De maneira simplificada, o ataque ocorre em três etapas principais:
- Envio de um arquivo malicioso para o servidor: Os invasores utilizam a vulnerabilidade para carregar o arquivo spinstall0.aspx dentro do diretório de layouts do SharePoint.
- Extração da chave de máquina (MachineKey): Esse arquivo é utilizado para obter a MachineKey do SharePoint — um componente crítico para a validação de sessões e segurança de dados.
- Execução de código remoto via ViewState: Com a chave roubada, os atacantes podem criar cargas de ViewState maliciosas que são aceitas pelo servidor, permitindo a execução arbitrária de comandos com privilégios elevados.
Esse método de ataque contorna medidas tradicionais de autenticação e validação, tornando-o especialmente perigoso.
Seu servidor foi afetado? Versões vulneráveis e como verificar
Atualmente, as versões sem patch disponível e vulneráveis a essa falha são:
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Server 2016
Já o Microsoft SharePoint Subscription Edition recebeu a atualização KB5002768, que corrige o problema. Administradores dessa versão devem aplicar o patch imediatamente.
Indicadores de comprometimento (IOCs) para ficar de olho
Para identificar se o seu servidor já foi comprometido, procure pelos seguintes IOCs (Indicadores de Comprometimento):
- Verificação de arquivos:
- Presença do arquivo malicioso:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
- Presença do arquivo malicioso:
- Análise de logs do IIS:
- Requisições POST para:
_layouts/15/ToolPane.aspx - Verifique se o referenciador HTTP é:
_layouts/SignOut.aspx
- Requisições POST para:
- Endereços IP suspeitos identificados:
107.191.58[.]76104.238.159[.]14996.9.125[.]147
Se algum desses sinais estiver presente, o servidor pode já ter sido comprometido.
Ação imediata: Como proteger seu servidor SharePoint agora
Mitigação principal: Ative a integração com AMSI
A Antimalware Scan Interface (AMSI) é uma tecnologia da Microsoft que permite que antivírus e soluções de segurança analisem scripts e códigos executados na memória, incluindo ViewState.
- A AMSI é integrada nativamente ao SharePoint Subscription Edition.
- Para SharePoint 2016/2019, é fundamental verificar se o AMSI está ativo.
- Consulte a documentação da Microsoft para garantir que seu antivírus é compatível com AMSI e está configurado corretamente.
Essa mitigação impede que cargas maliciosas ViewState sejam processadas silenciosamente.
Passo crítico: Rotacione as chaves de máquina (Machine Keys)
Se houver indícios de comprometimento, ou por precaução, é essencial invalidar as chaves roubadas.
Duas formas de fazer isso:
- Via PowerShell (modo recomendado): powershellCopiarEditar
Update-SPMachineKey iisreset - Via Administração Central do SharePoint:
- Acesse as configurações de segurança.
- Gere uma nova chave de máquina.
- Reinicie o IIS para aplicar.
Essa ação garante que qualquer ViewState criado com a chave anterior seja automaticamente rejeitado pelo servidor.
A última opção: Desconecte o servidor da internet
Se não for possível aplicar as mitigações imediatamente, a recomendação oficial da Microsoft é isolar os servidores SharePoint vulneráveis da internet.
Essa medida impede que o servidor seja explorado remotamente enquanto a atualização não é aplicada, reduzindo o risco de comprometimento.
Conclusão: Um cenário de risco ativo que exige ação imediata
Estamos diante de uma vulnerabilidade SharePoint crítica e explorada ativamente, sem patch disponível para versões amplamente utilizadas (2016 e 2019). O risco de execução remota de código sem autenticação é real e atual, exigindo uma resposta técnica rápida e precisa.
Não subestime a ameaça. Mesmo que não haja indícios de invasão, os passos de mitigação devem ser aplicados preventivamente.
Verifique seus servidores imediatamente seguindo os passos de mitigação descritos. Não presuma que seu ambiente está seguro. Aja agora para proteger seus dados e sua infraestrutura.
