CibersegurançaNotícias

Falha crítica no SharePoint (CVE-2025-53770): Patch urgente!

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Falaha SharePoint

Sua empresa usa SharePoint? Ação imediata é necessária para conter ataques ativos que exploram a falha crítica CVE-2025-53770.

A Microsoft emitiu um alerta crítico e lançou um patch de emergência para uma grave falha de segurança no Microsoft SharePoint Server, identificada como CVE-2025-53770. Classificada com pontuação CVSS 9.8, esta vulnerabilidade de execução remota de código (RCE) está sendo ativamente explorada por cibercriminosos, o que coloca em risco diversas organizações que utilizam servidores locais do SharePoint.

Conteúdo

A falha SharePoint já entrou para a lista de ameaças conhecidas da CISA (Cybersecurity and Infrastructure Security Agency), o que exige ação imediata por parte de administradores de sistemas e equipes de segurança. Neste artigo, você entenderá em detalhes o que é essa vulnerabilidade, quem está em risco e o que fazer para proteger seus servidores antes que seja tarde demais.

novas-falhas-do-sharepoint-facilitam-roubo-de-arquivos

O que é a falha crítica CVE-2025-53770?

A CVE-2025-53770 é uma falha de execução remota de código (RCE) que permite a um invasor executar comandos maliciosos remotamente no servidor SharePoint afetado. Em termos simples, se explorada com sucesso, a falha dá controle total ao invasor sobre o ambiente vulnerável, com potencial para comprometer toda a rede da organização.

Tecnicamente, o problema está relacionado à desserialização insegura de dados no SharePoint. Isso significa que o sistema aceita dados externos não confiáveis e tenta interpretá-los como objetos válidos, o que permite que códigos maliciosos sejam executados.

Essa vulnerabilidade é uma evolução direta da falha anterior CVE-2025-49704, o que indica que os patches anteriores foram insuficientes para bloquear completamente o vetor de ataque. Assim, a Microsoft desenvolveu uma proteção mais robusta e definitiva, cuja aplicação é mandatória para garantir a segurança.

“Presuma que foi comprometido”: ataques em andamento e o alerta de especialistas

Segundo análises da Unidade 42 da Palo Alto Networks e da empresa de segurança Eye Security, ataques cibernéticos já estão em curso explorando ativamente a falha SharePoint. Os pesquisadores afirmam que, se o seu servidor SharePoint está exposto à internet, é seguro presumir que ele já foi comprometido.

Os ataques observados envolvem roubo de credenciais, implantação de backdoors e movimentação lateral para comprometer outras partes da infraestrutura de TI, incluindo ferramentas como Microsoft Teams, OneDrive e Outlook. O cenário exige atenção total das equipes técnicas.

Essas ações maliciosas ocorrem sem deixar rastros visíveis inicialmente, o que amplia o risco de danos prolongados e silenciosos em ambientes corporativos.

Quem está em risco e quem está seguro?

A boa notícia é que nem todas as versões do SharePoint estão vulneráveis à falha CVE-2025-53770. No entanto, os sistemas afetados representam uma parte crítica das infraestruturas locais.

Versões vulneráveis ao ataque:

  • SharePoint Server 2019
  • SharePoint Enterprise Server 2016
  • SharePoint Server Subscription Edition

Se sua organização utiliza alguma dessas versões em servidores locais (on-premises), ela está em risco elevado e deve agir imediatamente.

Já os usuários do SharePoint Online, que faz parte do Microsoft 365, não estão afetados por essa vulnerabilidade específica. O modelo SaaS gerenciado pela Microsoft possui uma arquitetura e atualização contínua diferentes.

Passo a passo: como proteger seus servidores agora

A Microsoft publicou instruções claras para mitigar o risco dessa falha. Abaixo, organizamos um guia prático com os passos recomendados:

Aplique o patch de segurança mais recente

A ação mais urgente é instalar imediatamente a atualização de segurança de julho de 2025, disponibilizada pela Microsoft. Esse patch corrige a falha SharePoint de forma definitiva, fechando a brecha de desserialização insegura.

É fundamental que todas as instâncias locais das versões afetadas sejam atualizadas, inclusive ambientes de teste, produção e disaster recovery.

Ative a interface de verificação antimalware (AMSI)

A AMSI (Antimalware Scan Interface) fornece uma camada adicional de defesa, analisando scripts maliciosos antes da execução. A Microsoft recomenda que o AMSI esteja habilitado e configurado no modo completo.

Verifique se a interface está ativa no servidor, pois isso pode bloquear tentativas de exploração mesmo antes da aplicação do patch.

Rotacione as chaves de máquina ASP.NET

Este passo é obrigatório após a aplicação do patch ou ativação da AMSI. A rotação das chaves de máquina ASP.NET invalida sessões autenticadas, tokens e cookies potencialmente comprometidos.

Sem essa rotação, invasores que já roubaram tokens podem manter acesso persistente mesmo após o patch.

Considere desconectar da internet como medida paliativa

Se sua organização ainda não conseguiu aplicar o patch por qualquer motivo, a Unidade 42 sugere isolar o servidor SharePoint da internet como medida de contenção temporária. Embora não seja uma solução definitiva, isso pode limitar o risco de ataques remotos até que a correção seja aplicada.

O que fazer se você suspeita de uma invasão?

Caso exista a suspeita de que um servidor tenha sido comprometido, aplicar o patch por si só não remove o invasor. O ambiente pode já ter sido manipulado, com backdoors instalados e acessos persistentes.

Nessa situação, a Microsoft e especialistas em segurança recomendam:

  • Iniciar imediatamente o processo de resposta a incidentes.
  • Buscar por indicadores de comprometimento (IOCs), como logs anômalos, novos usuários administrativos ou conexões suspeitas.
  • Considerar contratar empresas especializadas em forense digital e mitigação de ameaças.

Ignorar essas etapas pode deixar a infraestrutura vulnerável mesmo após a correção técnica.

Conclusão: uma corrida contra o tempo para corrigir a falha SharePoint

A CVE-2025-53770 representa uma ameaça crítica às empresas que utilizam versões locais do Microsoft SharePoint Server. Com ataques ativos já em curso, cada minuto sem ação pode expor sua organização a roubos de dados, interrupções de serviço e violações graves de segurança.

Não espere. Se sua organização usa o SharePoint Server local, a hora de agir é agora. Verifique suas versões, aplique os patches de segurança mais recentes, rotacione as chaves ASP.NET e ative a AMSI para garantir a proteção completa do seu ambiente.

TAGGED:
Compartilhe este artigo
Artigo anterior Debian 13 Trixie destaque sobre fundo de placa-mãe eletrônica, marca SempreUpdate Debian 13 ‘Trixie’ será lançado em 9 de agosto de 2025: Full Freeze começa em 27 de julho e comunidade é chamada para testes e Release Notes
Próximo artigo Redmi Turbo 5 Redmi Turbo 5: chip Dimensity 8500 Ultra e bateria de 7.500 mAh
Distribuições

Proxmox VE 9.0 Beta 1: snapshots LVM, SDN Fabrics e ZFS sem downtime revolucionam virtualização e contêineres no Debian 13

Dashboard do Proxmox VE exibindo resumo de cluster, uso de CPU, memória e armazenamento, status Ceph, máquinas virtuais e contêineres LXC no ambiente Debian 13

Proxmox VE 9.0 Beta 1 traz snapshots avançados, SDN com Fabrics e expansão ZFS sem downtime para revolucionar a virtualização open source no Debian 13.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto