Hackers vinculados ao governo chinês foram associados a uma recente onda de ataques amplos que exploram uma cadeia de vulnerabilidades zero-day no Microsoft SharePoint.
Eles utilizaram esta cadeia de exploits (batizada de "ToolShell") para invadir dezenas de organizações mundialmente após hackear seus servidores SharePoint locais.
"Avaliamos que pelo menos um dos atores responsáveis por essa exploração inicial é um ator de ameaça com nexos na China.
É crítico entender que múltiplos atores agora estão explorando ativamente essa vulnerabilidade," Charles Carmakal, CTO da Mandiant Consulting do Google Cloud, disse ao site BleepingComputer.
"Antecipamos plenamente que essa tendência continuará, já que diversos outros atores de ameaça, movidos por motivações diversas, também utilizarão esse exploit."
Na sexta-feira, a firma holandesa de cibersegurança Eye Security foi a primeira a detectar ataques zero-day explorando as vulnerabilidades
CVE-2025-49706
e
CVE-2025-49704
(demonstradas inicialmente durante o concurso de hacking Pwn2Own em Berlim pelos pesquisadores da Viettel Cyber Security).
A empresa informou que pelo menos 54 organizações já haviam sido comprometidas, incluindo várias empresas multinacionais e entidades governamentais nacionais.
A Microsoft corrigiu as duas falhas como parte das atualizações de Patch Tuesday de julho e atribuiu dois novos IDs CVE (
CVE-2025-53770
e
CVE-2025-53771
) durante o fim de semana para os zero-days usados por atores de ameaça para comprometer servidores SharePoint totalmente atualizados.
Desde então, também lançou patches de emergência para SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016 para corrigir ambas as falhas de execução remota de código (RCE).
Na segunda-feira, após a Microsoft lançar os patches de segurança para todas as versões impactadas do SharePoint, um exploit proof-of-concept do
CVE-2025-53770
também foi disponibilizado no GitHub, facilitando para que mais atores de ameaça e grupos de hacking se unissem aos ataques em curso.
A CISA também adicionou a vulnerabilidade de execução remota de código
CVE-2025-53770
ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, ordenando que agências federais apliquem os patches um dia após serem lançados.
"Esta atividade de exploração, publicamente relatada como 'ToolShell', proporciona acesso não autenticado aos sistemas e permite que atores maliciosos acessem completamente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas, e executem código pela rede," a agência de cibersegurança disse.
A Microsoft está respondendo rapidamente, e estamos trabalhando com a empresa para ajudar a notificar entidades potencialmente impactadas sobre as mitigações recomendadas.
A CISA incentiva todas as organizações com servidores Microsoft SharePoint locais a tomar ações recomendadas imediatamente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...