Falha do Microsoft SharePoint expõe dados críticos de empresas

Recentemente, foi descoberto uma falha crítica do Microsoft SharePoint que expõe diversos dados críticos de empresas. E, embora a Microsoft já tenha lançado novos patches de segurança que consertam essa falha, muitas pessoas não sabiam que isso aconteceu. Por isso, nesse post nós vamos te contar mais sobre essa falha, os ataques, as vítimas e como se proteger desses ataques.

Falha do Microsoft SharePoint expõe dados críticos de empresas

O que é Microsoft SharePoint?

Em resumo, o Microsoft SharePoint é uma plataforma que ajuda empresas e organizações a gerenciar documentos, colaborar em equipe e compartilhar informações de forma segura. Ele geralmente é usado para criar sites internos. Esses sites internos são onde os funcionários podem armazenar, organizar e editar arquivos em tempo real. Além disso, ele também permite criar fluxos de trabalho, listas personalizadas e até aplicativos sob medida para atender às necessidades específicas de uma organização.

Ademais a isso, o SharePoint está disponível em duas versões, o SharePoint Online e o SharePoint Server. O SharePoint Online funciona na nuvem, como parte do Microsoft 365. Já o SharePoint Server é instalado localmente nos servidores da empresa. Ou seja, a versão na nuvem é gerenciada pela Microsoft, enquanto a versão local exige que a própria organização cuide da sua manutenção e segurança.

Além disso, ele também se integra com outras ferramentas da Microsoft. Assim, permitindo que você consiga acessar os arquivos de qualquer dispositivo com internet, desde que seja configurado corretamente.

Qual falha é essa?

A falha dessa ocasião é conhecida como CVE-2025-53770. A Check Point que descobriu essa falha crítica em 7 de julho de 2025. No entanto, essa afeta somente as versões on-premises do Microsoft SharePoint Server (2016, 2019 e Edição por Assinatura).

Em suma, essa falha permite que hackers executem códigos maliciosos remotamente, sem precisar de qualquer autenticação. Ou seja, o atacante não precisa de um login ou de uma senha para assumir o controle total do servidor vulnerável. Assim, podendo roubar dados, instalar programas maliciosos e até comprometer outros sistemas conectados.

Um problema na deserialização de dados não confiáveis causa essa falha. Em resumo, é um processo técnico que o SharePoint usa para interpretar informações recebidas. Os analistas classificaram a gravidade dessa falha como 9.8 no sistema CVSS. Isso indica um risco extremamente alto para a confidencialidade, a integridade e a disponibilidade dos sistemas afetados.

Entretanto, recentemente a Microsoft lançou atualizações de segurança para corrigir esse problema nas versões suportadas. No entanto as versões mais antigas não receberão patches de segurança. Já que elas estão fora de suporte.

Como o ataque aconteceu?

Recentemente, um ataque cibernético explorou duas falhas de segurança no sistema SharePoint. Assim, permitindo que hackers invadissem redes e roubassem informações. Especialistas combinaram as falhas CVE-2025-53770 e CVE-2025-53771 em uma técnica chamada ToolShell.

Primeiramente, os cibercriminosos começaram enviando requisições maliciosas que exploravam uma falha de “spoofing”. Desse modo, conseguindo contornar a autenticação. Ou seja, eles conseguiram entrar no servidor SharePoint sem precisar de login e senha, já que simularam uma solicitação legítima.

Uma vez dentro do sistema, eles aproveitaram a falha CVE-2025-53770, que permite a execução remota de códigos. Assim, eles puderam instalar arquivos maliciosos que davam controle total sobre o servidor para os hackers.

Além disso, para garantir o seu acesso futuro, os hackers roubaram algumas chaves criptográficas importantes, como a ValidationKey e a DecryptionKey. Essas chaves são usadas para assinar tokens de autenticação, e com elas, os criminosos podem criar tokens falsos e manter o acesso ao sistema, mesmo que as falhas fossem corrigidas.

Quem é o responsável pelo ataque?

Os especialistas atribuíram esses ataques, que usam a cadeia de exploração ToolShell, a supostos grupos de hackers patrocinados pelo governo chinês, especificamente o Linen Typhoon, o Violet Typhoon e o Storm-2603. Já que esses grupos são conhecidos por realizar operações de ciberespionagem, visando alvos estratégicos como governos, empresas de tecnologia e infraestruturas críticas. Além disso, a Microsoft confirmou que esses hackers exploraram as vulnerabilidades CVE-2025-53770 e CVE-2025-53771 para comprometer servidores SharePoint on-premises, principalmente aqueles que são acessíveis pela internet.

O Linen Typhoon e o Violet Typhoon fazem campanhas sofisticadas, frequentemente focadas em roubar informações confidenciais ou interromper operações de organizações de setores sensíveis. Os pesquisadores também identificaram o Storm-2603, um grupo baseado na China, como possível participante desses ataques.

No entanto, mesmo que a Microsoft e outros pesquisadores de segurança,  tenham apontado esses grupos como os responsáveis, as investigações continuam para determinar se esses grupos são, de fato, os responsáveis e se há outros que estão envolvidos.

Quais foram as vítimas desse ataque?

Em suma, esses ataques comprometeram pelo menos 54 organizações em todo o mundo, tendo como foco principal a América do Norte e a Europa Ocidental. Entre as suas vítimas estão governos nacionais, agências federais e estaduais e empresas multinacionais. Entre essas empresas, a maioria é focada em setores como telecomunicações, tecnologia, manufatura, consultoria tecnológica e infraestrutura crítica. Além disso, os especialistas relataram que mais de 75 empresas também podem ter sido afetadas. No entanto, as autoridades decidiram não divulgar publicamente a lista exata de vítimas por segurança.

Esses ataques, que começaram em 7 de julho e se intensificaram nos dias 18 e 19 desse mesmo mês, exploraram os servidores SharePoint acessíveis pela internet. Assim permitindo que hackers acessassem dados sensíveis, como documentos confidenciais e configurações internas. Além disso, diversas empresas de segurança, como Eye Security e Palo Alto Networks, confirmaram a escala dos ataques e relataram que os ataques comprometeram centenas de servidores globalmente.

Como se proteger?

Recentemente (20/07/25), a Microsoft lançou atualizações de segurança para as versões suportadas do SharePoint Server (2016, 2019 e Edição por Assinatura). Você precisa instalar essas atualizações o mais rápido possível para conseguir fechar a brecha que permite a execução de código remoto.

No entanto, a Microsoft recomendou que os administradores desconectem da internet os servidores com as versões sem suporte, como SharePoint 2010 e 2013, até que eles possam ser atualizados ou substituídos. A CISA também sugeriu monitorar as requisições POST para endpoints e implementar regras de firewall para bloquear quaisquer atividades suspeitas.

Como saber se fui vítima desse ataque?

Você precisa procurar por alguns sinais para descobrir se o ToolShell atacou sua empresa. Primeiramente, você precisa procurar os seguintes sinais:

  • Endereços de internet suspeitos – Você precisa prestar atenção se os computadores da sua rede estão tentando se conectar a alguns endereços desconhecidoa, como 96.9.125.147, 107.191.58.76 ou 104.238.159.149. Já que esses foram os endereços usados pelos atacantes.
  • Arquivos estranhos – Também é importante verificar se existem arquivos como spinstall0.aspx, spinstall1.aspx ou info3.aspx em algumas pastas como C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS. Isto é porque esses arquivos são as portas dos fundos que os criminosos instalam e usam para controlar os seus servidores.

Além disso, as suas ferramentas de segurança também podem mostrar alguns sinais. Entre eles estão:

  • Alertas no Microsoft Defender – É importante prestar atenção nas mensagens de alerta como Possível instalação de web shell ou Exploração de vulnerabilidades do SharePoint. Já que eles indicam que algo está errado e colocando em risco seus dados críticos em risco.
  • Verifique a saúde dos seus computadores – Algumas ferramentas como o Microsoft Defender Vulnerability Management também podem te ajudar a identificar quais computadores em risco. Por isso, os especialistas recomendam que você procure por problemas como CVE-2025-53770 e CVE-2025-53771, além de verificar se há a tag Evidência de Exploração.

Além disso, você pode procurar na rede por evidências de tráfego de internet incomum. Ou seja, monitorando para ver se tem um grande número de requisições POST para um endereço específico. Já que isso pode indicar que algo estranho está acontecendo.

No entanto, caso você encontre algum desses sinais, é importante você fazer duas coisas: Isolar o computador e investigar a situação. Ou seja, você precisaria desconectar o servidor afetado imediatamente da sua rede, para evitar que o ataque se espalhe. Logo depois disso, você precisaria contratar especialistas para investigar o que aconteceu, qual foi o impacto e remover qualquer coisa maliciosa.

falha microsoft falha microsoft sharepoint falha microsoft sharepoint vaza dados de empresas vazamento de dados microsoft sharepoint

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Categorias

Busca
Posts recentes
Qual é a melhor hospedagem para loja virtual?
Qual é a melhor hospedagem para loja
  • 05/12/2025
  • 11 min read
Typosquatting - O que é e como se proteger
Typosquatting – O que é e como
  • 02/12/2025
  • 7 min read
E-mails falsos - O que é phishing e como identificar
E-mails falsos – O que é phishing
  • 26/11/2025
  • 7 min read
Hospedagem Cloud cPanel - Adeus sites lentos!
Hospedagem Cloud cPanel – Adeus sites lentos!
  • 24/11/2025
  • 6 min read
Rascunhos, enviados e lixo eletrônico no RoundCube
Rascunhos, enviados e lixo eletrônico no RoundCube
  • 12/11/2025
  • 6 min read
Como instalar n8n na minha hospedagem cPanel
n8n – O que é e o
  • 05/11/2025
  • 5 min read
Por que usar o RoundCube ao invés de outro serviço
Por que usar o RoundCube ao invés
  • 03/11/2025
  • 6 min read
Como alterar diretivas do PHP no cPanel
Como alterar diretivas do PHP no cPanel
  • 29/10/2025
  • 2 min read
Siga nossas redes sociais
All Tags
backlinks seo cloud computing como criar e-mail profissional como criar e-mails para empresa como desbloquear meu ip como escolher uma hospedagem de site como melhorar o SEO como saber se a hospedagem de site e boa construtor de sites com seo construtor de sites grátis criador de sites cpanel criador de sites grátis dominio barato dominio promocao erros fatais resolver hospedagem barata hospedagem com criador de sites hospedagem com Litespeed hospedagem com litespeed vale a pena? hospedagem com ssl hospedagem cpanel hospedagem de sites hospedagem de sites barata hospedagem para loja virtual hospedagem wordpress melhor hospedagem de sites melhor plano de hospedagem o que é extensão de domínio o que é seo o que é uma revenda de hospedagem plano com ssl promocao cloud promocao hospedagem com cpanel promoção hospedagem de sites registro de dominio SEO seo fácil site inseguro site lento motivos site não seguro Softaculous ssl gratis ssl lets encrypt vantagens de hospedar meu site vpn

Posts relacionados

Qual é a melhor hospedagem para loja virtual?
Hospedagem compartilhada Hospedagem de sites Tecnologia
Qual é a melhor hospedagem para loja virtual?
Typosquatting - O que é e como se proteger
Notícias Segurança Tecnologia
Typosquatting – O que é e como se proteger
E-mails falsos - O que é phishing e como identificar
e-mail Notícias Segurança
E-mails falsos – O que é phishing e como identificar
Meu site está sendo considerado "site malicioso", e agora?
Hospedagem compartilhada Hospedagem de sites Segurança Tecnologia
Tela vermelha do Google: Site perigoso, e agora?