Múltiplos grupos hackers ligados ao governo chinês estão explorando ativamente uma grave vulnerabilidade SharePoint, conhecida como ToolShell, segundo confirmação oficial da Microsoft. Essa falha crítica de segurança permite a execução remota de código em servidores SharePoint, comprometendo totalmente os sistemas afetados. O alerta, que ganhou destaque após ser incluído no catálogo de vulnerabilidades exploradas ativamente da CISA, já mobiliza empresas e órgãos públicos ao redor do mundo.
Este artigo apresenta uma análise detalhada da vulnerabilidade ToolShell, identifica os grupos de ameaça envolvidos, explica os riscos associados, os CVEs atribuídos, e, acima de tudo, fornece instruções claras e urgentes para que administradores de sistemas corrijam o problema imediatamente. Entenda a gravidade da falha e por que ela exige uma ação imediata e coordenada de toda a comunidade de segurança da informação.
O que é a vulnerabilidade ToolShell no SharePoint?
A vulnerabilidade ToolShell é uma cadeia de exploração no Microsoft SharePoint que permite execução remota de código (RCE) sem a necessidade de autenticação. Na prática, isso significa que um atacante pode executar comandos maliciosos diretamente em um servidor SharePoint acessível pela internet, sem precisar de credenciais. O impacto é crítico: o invasor pode assumir o controle total do sistema comprometido, instalar backdoors, movimentar-se lateralmente e exfiltrar dados sensíveis.
A origem da falha foi inicialmente revelada durante a competição de segurança Pwn2Own, mas rapidamente evoluiu para ataques do tipo zero-day, sendo utilizada em campanhas reais antes da publicação de qualquer correção por parte da Microsoft. A combinação de alto impacto, ausência de autenticação e exploração ativa torna essa falha uma das mais perigosas dos últimos anos no ecossistema Microsoft.
Atores da ameaça: Grupos ligados à China em ação
Segundo a própria Microsoft, os principais responsáveis pelas explorações da vulnerabilidade são os grupos Linen Typhoon e Violet Typhoon, ambos associados ao governo chinês. Esses agentes fazem parte de uma categoria conhecida como state-sponsored actors, ou seja, grupos cibernéticos que atuam com financiamento e suporte estatal. Isso lhes confere recursos técnicos avançados, infraestrutura robusta e objetivos geopolíticos claros.
O grupo Storm-2603, identificado por meio de análises conduzidas pela Microsoft e pela empresa de segurança Mandiant (do Google Cloud), também está envolvido nas campanhas de ataque. Essa cooperação entre grupos reflete o elevado nível de sofisticação da operação e levanta preocupações sobre operações de espionagem e sabotagem digital contra alvos estratégicos, como órgãos governamentais e grandes corporações.
CVEs, patches e a corrida contra o tempo
Os CVEs envolvidos
A cadeia de exploração ToolShell foi inicialmente associada às falhas CVE-2025-49706 e CVE-2025-49704, mas, com a escalada dos ataques, a Microsoft atribuiu novos identificadores mais específicos para os exploits zero-day observados:
- CVE-2025-53770: Permite execução remota de código no SharePoint sem autenticação.
- CVE-2025-53771: Complementa a cadeia de ataque, permitindo elevação de privilégios após o acesso inicial.
Esses CVEs passaram a ser o foco de atenção da comunidade de segurança após a comprovação de que estão sendo ativamente explorados em ataques reais.
A resposta da Microsoft
Diante da gravidade da situação, a Microsoft lançou patches de emergência fora do calendário tradicional do Patch Tuesday. As atualizações corrigem as falhas críticas nas seguintes versões do SharePoint:
- SharePoint Subscription Edition
- SharePoint Server 2019
- SharePoint Server 2016
Os administradores de sistema devem verificar com urgência se seus ambientes estão executando versões vulneráveis e aplicar as correções imediatamente.
O alerta da CISA
A CISA (Cybersecurity and Infrastructure Security Agency) incluiu o CVE-2025-53770 em seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), o que significa que há comprovação de uso ativo da falha em ataques reais. A agência emitiu ordem obrigatória para que todas as agências federais dos EUA apliquem o patch até o prazo limite estabelecido — uma medida que deve ser espelhada por organizações privadas em todo o mundo, dada a gravidade e disseminação do problema.
Risco iminente: Prova de conceito (PoC) já está disponível
Outro fator que eleva o nível de risco dessa vulnerabilidade SharePoint é a publicação de uma Prova de Conceito (PoC) no GitHub. Uma PoC é um código de exemplo que demonstra como explorar uma falha — e, neste caso, facilita drasticamente o trabalho de cibercriminosos menos qualificados.
Com a PoC publicamente disponível, espera-se uma explosão de tentativas de exploração automatizadas, inclusive por parte de botnets e kits de ferramentas utilizados por grupos oportunistas. A janela para exploração em larga escala está totalmente aberta.
Conclusão: O que você deve fazer agora
A vulnerabilidade SharePoint conhecida como ToolShell representa uma ameaça real, ativa e sofisticada, explorada por múltiplos grupos ligados ao Estado chinês. O risco está amplificado pela presença de PoC pública e pela já confirmada comprometimento de organizações globais.
A recomendação é clara e inequívoca: aplique os patches de segurança da Microsoft imediatamente. Verifique todos os seus servidores SharePoint locais e garanta que as atualizações de emergência foram instaladas sem demora. Não subestime o risco.
A falha é grave, a exploração está em andamento e a ação rápida é o único caminho para proteger sua infraestrutura contra possíveis sequestros de sistema, roubo de dados e paralisação de serviços essenciais.
