Falha zero day no SharePoint expõe servidores e leva CISA a emitir alerta de segurança
Especialistas em cibersegurança e o governo dos Estados Unidos confirmaram que invasores têm explorado a vulnerabilidade CVE-2025-53771 no SharePoint, plataforma corporativa da Microsoft usada para armazenar e compartilhar documentos internos.
A brecha, classificada como zero day, afeta instalações mantidas dentro das próprias empresas, sem relação com a nuvem da Microsoft. A falha permite a extração de chaves digitais privadas diretamente dos servidores, dispensando qualquer tipo de autenticação prévia.
Com essas chaves em mãos, os atacantes conseguem instalar malwares, acessar arquivos confidenciais e mover-se lateralmente por redes corporativas. A possibilidade de integração do SharePoint com Outlook, Teams e OneDrive amplia o alcance potencial dos danos.
A Eye Security, empresa europeia de segurança da informação, identificou a exploração ativa na sexta-feira e reportou ter encontrado dezenas de servidores comprometidos. O relato motivou um comunicado de urgência da CISA, a agência de segurança cibernética e infraestrutura dos EUA.
Segundo a Eye Security, as primeiras evidências indicam que universidades, agências federais norte-americanas e empresas do setor de energia figuram entre os alvos já confirmados. Embora a extensão total das invasões permaneça desconhecida, a estimativa aponta para milhares de pequenas e médias companhias afetadas em todo o mundo.
Integrantes do setor de resposta a incidentes explicam que o ataque se destaca pela eficiência: o código malicioso sonda servidores expostos, extrai as chaves de segurança e se desfaz do vestígio inicial, dificultando a detecção pelos administradores.
A Microsoft liberou, ao longo do fim de semana, pacotes de correção para o SharePoint Subscription Edition e para o SharePoint 2019. A equipe de engenharia trabalha agora em atualização semelhante para a versão 2016, ainda amplamente utilizada.
Até que o patch para 2016 seja concluído, a recomendação principal é desconectar servidores vulneráveis da internet ou limitar seu acesso por meio de redes internas protegidas por VPN. Administradores também devem substituir imediatamente as chaves digitais que possam ter sido copiadas.
A CISA incluiu a falha em seu catálogo de vulnerabilidades exploradas, exigindo que órgãos federais norte-americanos apliquem as correções disponíveis dentro dos prazos regimentais. O procedimento faz parte do protocolo de proteção de infraestrutura crítica nos EUA.
Rafe Pilling, diretor de Inteligência de Ameaças da Sophos, declarou à agência Reuters que a campanha observada apresenta técnicas consistentes, sugerindo a atuação de um único grupo. Ele alertou, contudo, que a divulgação pública tende a estimular cópias por outros agentes mal-intencionados.
A ausência de necessidade de login eleva o risco, porque servidores que nunca foram expostos a tentativas de invasão podem ser comprometidos sem gerar alertas tradicionais de falha de autenticação. Isso dificulta identificar quando a intrusão ocorreu e quais dados foram acessados.
Empresas que utilizam o SharePoint on-premises devem verificar logs de auditoria em busca de atividades incomuns, como transferências atípicas de arquivos, criação de contas de serviço ou modificações nos privilégios de usuários.
Especialistas também sugerem segmentar redes internas, adotando o modelo de confiança zero para restringir a movimentação lateral. A integração com outros produtos da Microsoft torna essa prática relevante, já que invasores podem alcançar e-mails ou arquivos no OneDrive por meio da mesma credencial roubada.
Embora não haja indícios de que ambientes em nuvem, como o SharePoint Online, estejam afetados, analistas afirmam que organizações híbridas devem revisar a postura de segurança global, evitando que um sistema local comprometido abra portas para a infraestrutura hospedada.
O incidente reforça preocupações recorrentes sobre a manutenção de softwares desatualizados. Versões 2016 continuam presentes em muitos data centers por exigirem migrações complexas; entretanto, a dependência de pacotes antigos amplia a janela de exposição.
A divulgação pública da CVE-2025-53771 ocorre poucos meses após outros casos de exploração de zero day contra produtos Microsoft. Em todos eles, o curto intervalo entre descoberta e correção colocou empresas diante do desafio de responder rapidamente para evitar vazamentos.
Até o fechamento desta reportagem, não foram divulgadas informações sobre motivações ou possíveis vínculos geopolíticos dos invasores. Investigadores ainda analisam amostras coletadas para determinar se o grupo responsável pertence a um Estado-nação ou ao crime organizado.
A Microsoft orienta clientes a aderir ao ciclo regular de atualizações e a usar ferramentas de monitoramento comportamental, capazes de detectar ações fora do padrão mesmo quando não há assinaturas conhecidas para o ataque.
Além das correções oficiais, organizações são aconselhadas a adotar dupla autenticação sempre que possível, revisar políticas de backup offline e treinar equipes para reconhecer indícios precoces de comprometimento.
A complexidade da vulnerabilidade e o número de sistemas potencialmente impactados indicam que o esforço de mitigação deve se estender pelas próximas semanas, enquanto analistas trabalham para mapear a real extensão da campanha e prevenir novos incidentes.
Fonte: Olhar Digital
