CTI REPORT – Vulnerabilidade do SharePoint

Sumário

1. Sumário Executivo
   1.2. Risco Atual para Organizações
   1.3. Medidas Prioritárias de Mitigação
2. Descrição da Ameaça
3. Avaliação de Impacto
4. Análise de exposição
   4.2. Riscos Associados
5. Estratégias de Mitigação
6. Detecção de Comprometimento
7. Provas de Conceito (PoCs)
8. Indicadores de Comprometimento (IoCs)
9. Regra para detecção de exploração
   9.2. Sigma
10. Referências

1. Sumário Executivo

Uma vulnerabilidade crítica de dia zero no Microsoft SharePoint, identificada como CVE-2025-53770 e conhecida como ToolShell, está sendo ativamente explorada desde 18 de julho de 2025. Esta vulnerabilidade permite execução remota de código (RCE) sem autenticação em servidores SharePoint on-premises (versões 2016, 2019 e Subscription Edition), resultando em comprometimento total do sistema.

Mais de 75 organizações foram afetadas globalmente, com varreduras indicando mais de 16.000 servidores expostos podem estar vulneráveis devido à ausência de patches, especialmente para o SharePoint Server 2016.

A exploração em massa, observada em 18 e 19 de julho de 2025, utiliza ferramentas como ysoserial e Sharpyshell, permitindo roubo de dados, acesso persistente e movimento lateral na rede.

1.2 Risco Atual para Organizações

A CVE-2025-53770 representa um risco crítico para organizações que utilizam servidores SharePoint on-premises, especialmente aquelas com sistemas expostos à internet. A ausência de patches para o SharePoint Server 2016 e a exploração ativa de mais de 16.000 servidores globalmente aumentam a probabilidade de ataques bem-sucedidos.

1.3 Medidas Prioritárias de Mitigação

Aplicação Imediata de Patches: Instalar as atualizações KB5002741 (SharePoint 2019) e KB5002768 (Subscription Edition) em todos os servidores aplicáveis. Para SharePoint 2016, desconectar sistemas da internet até que um patch esteja disponível.

Habilitação do AMSI: Configurar o Antimalware Scan Interface com Microsoft Defender Antivirus em modo completo para bloquear explorações.

Rotação de Chaves: Executar a rotação das chaves de máquina ASP.NET usando o cmdlet Update-SPMachineKey e reiniciar o IIS.

Monitoramento e Varreduras: Realizar varreduras internas para identificar servidores expostos e monitorar indicadores de comprometimento (IoCs), como o arquivo spinstall0.aspx.

A implementação imediata dessas medidas é essencial para reduzir a superfície de ataque, proteger ativos críticos e mitigar os riscos de exploração em andamento.

2. Descrição da Ameaça

  • Nome da Vulnerabilidade: ToolShell (CVE-2025-53770, CVE-2025-53771, CVE-2025-49706, CVE-2025-49704)
  • Tipo: Execução Remota de Código (RCE), Não Autenticada
  • Pontuação CVSS: 9.8 (Crítica)
    • Versões Afetadas: SharePoint Server 2016
    • SharePoint Server 2019
    • Subscription Edition (on-premises)
    • SharePoint Online (Microsoft 365) não é afetado.
  • Método de Exploração: A vulnerabilidade explora a desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário. Ferramentas como ysoserial (GitHub) e Sharpyshell (GitHub) são usadas para gerar payloads e manter persistência. Atacantes implantam arquivos maliciosos, como spinstall0.aspx, para garantir acesso contínuo.
  • Cronologia
    • Identificada em 18 de julho de 2025, às 18:00 UTC.
    • Ondas de exploração em 18 e 19 de julho de 2025.
    • Adicionada ao Catálogo de Vulnerabilidades Exploradas da CISA em 20 de julho de 2025.

3. Avaliação de Impacto

  • A exploração bem-sucedida permite que atacantes:

    • Obtenham controle total do servidor, acessando arquivos, configurações internas e conteúdo do SharePoint.
    • Roubem chaves criptográficas (MachineKeys), permitindo acesso persistente mesmo após patches.
    • Realizem movimento lateral na rede, comprometendo outros sistemas.
    • Causem roubo de dados, interrupção de serviços e danos à reputação organizacional.

    Até o momento, mais de 75 organizações foram comprometidas, com potencial para impactos significativos em setores que dependem do SharePoint para colaboração e gerenciamento de documentos.

4. Análise de Exposição

Realizamos uma busca no Shodan em 21 de julho de 2025 para identificar dispositivos potencialmente vulneráveis à CVE-2025-53770.

O mapa gerado a partir dos dados do Shodan exibe a distribuição geográfica dos 16.000 servidores potencialmente vulneráveis, com maior densidade nos Estados Unidos, Irã e Malásia.

4.2 Riscos associados

Os ~16.000 servidores potencialmente vulneráveis representam um risco crítico devido à possibilidade de exploração automatizada, como observado nas ondas de ataque de 18 e 19 de julho de 2025. A exposição pública desses sistemas facilita o comprometimento em massa, roubo de dados sensíveis e acesso persistente via chaves criptográficas roubadas. Setores como governo, saúde e finanças, frequentemente associados a domínios encontrados nos banners do Shodan, estão particularmente em risco.

5. Estratégias de mitigação

Atualizações de Segurança

  • SharePoint Server 2019: Aplicar KB5002741.
  • SharePoint Server Subscription Edition: Aplicar KB5002768.
  • SharePoint Server 2016: Atualização de segurança ainda não disponível; verificaratualizações regularmente.

6.Detecção de Comprometimento

  • Verificar a presença do arquivo spinstall0.aspx com o hash SHA256 especificado
  • Analisar logs de servidor para requisições HTTP suspeitas, como POSTs para/ToolPane.aspx.
  • Monitorar conexões de rede dos IPs de origem listados.
  • Usar ferramentas de segurança para detectar padrões de ataque associados, comopayloads gerados por ysoserial ou Sharpyshell.

7.Provas de Conceito (PoCs)

  • Identificamos um total de tres repositórios contendo potenciais PoCs para a exploraçãoda vulnerabilidade, porem nenhum deles foi diretamente comprovado como funcional

  • A exploração foi demonstrada no Pwn2Own Berlin 2025, com weaponização em 72 horasapós divulgação, indicando alta disponibilidade de exploits entre atores maliciosos.

8.Indicadores de Comprometimento (IoCs)

Indicador
Detalhes
Arquivo Malicioso
92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
Artefato Adicional
30955794792a7ce045660bb1e1917eef36f1d5865891b8110bf982382b305b27
Endereço de IP
107.191.58[.]76
Endereço de IP
104.238.159[.]149
Endereço de IP
96.9.125[.]147
Endereço de IP
103.186.30[.]186

9.Regra para detecção de exploração

9.2 Sigma

				
					title: Exploração Potencial da CVE-2025-53770 no SharePoint 
id: ba479447-721f-42a9-9af2-6dcd517bbdb3 
status: experimental 
description: | 
    Detecta a criação de arquivos como spinstall.aspx, o que pode indicar a exploração bem-sucedida da CVE-2025-53770. 
    A CVE-2025-53770 é uma vulnerabilidade zero-day no SharePoint que permite execução remota de código. 
references: 
    - https://research.eye.security/sharepoint-under-siege/ 
    - https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/ 
    author: SocRadar 
    date: 2025-07-21 
    tags: 
    - attack.initial-access 
    - attack.t1190 
    - cve.2025-53770 
    - detection.emerging-threats 
    logsource: 
    product: windows 
    category: file_event 
detection: 
    selection: 
        TargetFilename|endswith: '\spinstall0.aspx'
    condition: selection 
falsepositives: 
    - Unknown 
level: critical

10. Referências

Eye Security: SharePoint Under Siege.

Microsoft Security Response Center: Customer Guidance for SharePoint Vulnerability CVE-2025-53770.

CISA: Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770).

The Hacker News: Critical Unpatched SharePoint Zero-Day Actively Exploited, Breaches 75+ Company Servers.

National Vulnerability Database: CVE-2025-53770.

SOCRadar: ToolShell Campaign: New SharePoint Zero-Day (CVE-2025-53770) Triggers Widespread Exploitation.

Microsoft: Security Update for SharePoint Server 2019 (KB5002741).

Microsoft: Security Update for SharePoint Server Subscription Edition (KB5002768).

mais conteúdo

Pentest: o que é, por que é fundamental e como fortalece a segurança
Pentest: o que é, por que é fundamental e como fortalece a segurança
SOC (Security Operations Center): o que é, importância estratégica e melhores práticas
SOC (Security Operations Center): o que é, importância estratégica e melhores práticas
Ransomware: 10 formas de proteger sua empresa
Ransomware: 10 formas de proteger sua empresa
Por que o phishing continua sendo uma das maiores ameaças atualmente
Por que o phishing continua sendo uma das maiores ameaças atualmente
6 malwares em ascensão que você precisa conhecer
6 malwares em ascensão que você precisa conhecer

Quer saber como o seu negócio pode se tornar nosso próximo case de sucesso?

Entre em contato agora mesmo!

Fale Conosco

Solo Iron: A vertical de cibersegurança da Solo Network projetada para proteger cada aspecto do seu negócio.

Solo Iron

Linkedin Instagram Facebook

Soluções

Parceiros

© Solo Iron - Todos os direitos reservados