A Microsoft liberou atualizações de segurança de emergência para o SharePoint, corrigindo duas vulnerabilidades zero-day identificadas como
CVE-2025-53770
e
CVE-2025-53771
, que comprometeram serviços em todo o mundo através de ataques "ToolShell".
Em maio, durante o concurso de hacking Pwn2Own em Berlim, pesquisadores exploraram uma cadeia de vulnerabilidades zero-day chamada "ToolShell", que os permitiu executar código remotamente no Microsoft SharePoint.
Essas falhas foram corrigidas como parte das atualizações de Julho Patch Tuesday; no entanto, agentes de ameaças conseguiram descobrir duas vulnerabilidades zero-day que contornaram os patches da Microsoft para as falhas anteriores.
Utilizando essas vulnerabilidades, os agentes de ameaças vêm conduzindo ataques ToolShell em servidores SharePoint em todo o mundo, afetando mais de 54 organizações até agora.
A Microsoft agora apressou-se em lançar atualizações de segurança de emergência fora de banda para o Microsoft SharePoint Subscription Edition e SharePoint 2019, que corrigem tanto as falhas
CVE-2025-53770
quanto
CVE-2025-53771
.
A Microsoft ainda está trabalhando nos patches para o SharePoint 2016, e eles ainda não estão disponíveis.
"Sim, a atualização para
CVE-2025-53770
inclui proteções mais robustas do que a atualização para
CVE-2025-49704
.
A atualização para
CVE-2025-53771
inclui proteções mais robustas do que a atualização para
CVE-2025-49706
," lê-se uma nota nos avisos da Microsoft.
Os administradores do Microsoft SharePoint devem instalar imediatamente as seguintes atualizações de segurança, dependendo da versão:
A atualização KB5002754 para o Microsoft SharePoint Server 2019.
A atualização KB5002768 para o Microsoft SharePoint Subscription Edition.
A atualização para o Microsoft SharePoint Enterprise Server 2016 ainda não foi lançada.
Após a instalação das atualizações, a Microsoft insta os administradores a rodar as chaves de máquinas do SharePoint usando os seguintes passos:
Os administradores do SharePoint podem rodar as chaves de máquina usando um dos dois métodos abaixo:
Manualmente via PowerShell
Para atualizar as chaves de máquina usando PowerShell, use o cmdlet Update-SPMachineKey.
Manualmente via Central Admin
Acione o trabalho de rotação da chave de máquina executando os seguintes passos:
Navegue até o site Central Administration.
Vá para Monitoring -> Review job definition.
Procure por Machine Key Rotation Job e selecione "Run Now".
Após a rotação ter sido completada, reinicie o IIS em todos os servidores SharePoint usando iisreset.exe.
Também é aconselhado analisar seus logs e sistema de arquivos para a presença de arquivos maliciosos ou tentativas de exploração.
Isso inclui:
Criação do arquivo C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx.
Logs do IIS mostrando uma requisição POST para _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx e um referer HTTP de _layouts/SignOut.aspx.
A Microsoft compartilhou a seguinte consulta do Microsoft 365 Defender para verificar se o arquivo spinstall0.aspx foi criado em seu servidor.
Se o arquivo existir, então uma investigação completa deve ser conduzida no servidor violado e na sua rede para garantir que os agentes de ameaças não se espalharam para outros dispositivos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...