Detecção CVE-2025-53770: Vulnerabilidade Zero-Day do Microsoft SharePoint Ativamente Explorada para Ataques de Execução Remota de Código
Índice:
Este verão registrou um aumento nas vulnerabilidades críticas que afetam produtos da Microsoft. Uma nova vulnerabilidade de execução remota de código (RCE) no Windows, identificada como CVE-2025-33053, foi ativamente explorada pelo grupo APT Stealth Falcon. Ao mesmo tempo, outra falha grave, chamada EchoLeak (CVE-2025-32711), foi descoberta no Microsoft Copilot, permitindo exfiltração silenciosa de dados via e-mail sem necessidade de interação do usuário.
Com essas vulnerabilidades ainda recentes, a atenção se voltou para outra ameaça de alto impacto chamada ToolShell. A nova zero-day (CVE-2025-53770) usada nesses ataques é uma variante da vulnerabilidade RCE no SharePoint recentemente corrigida (CVE-2025-49704), atualmente explorada em ataques reais. Os atacantes a utilizam para implantar backdoors em servidores SharePoint on-premises comprometidos e extrair chaves de segurança, possibilitando a total violação do sistema.
Detectar tentativas de exploração do CVE-2025-53770
Com mais de 1,4 bilhão de dispositivos executando Windows e a dependência global de seus serviços, a Microsoft permanece no centro do ecossistema digital atual. O Relatório de Vulnerabilidades da Microsoft 2025 da BeyondTrust revelou um recorde de 1.360 vulnerabilidades divulgadas em 2024 — um aumento de 11% em relação ao recorde anterior. Essa tendência crescente destaca a ampliação da superfície de ataque e a necessidade urgente de adaptação proativa frente a um cenário de ameaças em constante evolução.
Cadastre-se na Plataforma SOC Prime para acessar inteligência de ameaças cibernéticas em tempo real e algoritmos de detecção customizados para a exploração do CVE-2025-53770. A plataforma também equipa equipes de SOC com um conjunto completo de produtos para engenharia de detecção orientada por IA, caça automatizada de ameaças e detecção avançada.
Defensores cibernéticos que buscam mais conteúdo de detecção relacionado à exploração de vulnerabilidades podem navegar pelo Threat Detection Marketplace utilizando a tag “CVE”.
Todas as detecções podem ser utilizadas em diversas tecnologias SIEM, EDR e Data Lake, e estão alinhadas ao framework MITRE ATT&CK para facilitar investigações de ameaças. A Plataforma SOC Prime fornece conteúdo de detecção de alta qualidade, enriquecido com CTI, linhas do tempo de ataque, configurações de auditoria, recomendações de triagem e muito mais.
Engenheiros de segurança também podem aproveitar o Uncoder AI — uma IA privada, não-agentica, desenvolvida especificamente para engenharia de detecção orientada por ameaças. Com o Uncoder, defensores podem converter automaticamente IOCs em consultas de caça, criar regras de detecção a partir de relatórios brutos de ameaças, prever tags ATT&CK, otimizar consultas com IA e traduzir conteúdo de detecção entre várias plataformas.
Análise do CVE-2025-53770
Duas falhas zero-day críticas no Microsoft SharePoint, identificadas como CVE-2025-53770 e CVE-2025-53771, estão sendo exploradas em ataques desde pelo menos 18 de julho. Ainda não há patch oficial, e mais de 85 servidores foram confirmados como afetados em todo o mundo.
O CVE-2025-53770, uma vulnerabilidade de segurança altamente crítica com pontuação CVSS de 9.8, é considerada uma variante do CVE-2025-49704 previamente corrigido — uma falha de injeção de código e RCE tratada pela Microsoft em julho de 2025. A atividade de exploração conhecida como “ToolShell” permite que atacantes obtenham acesso não autenticado a sistemas vulneráveis, acessando completamente conteúdos do SharePoint, incluindo arquivos e configurações internas, além de possibilitar RCE em toda a rede.
O CVE-2025-53770 envolve desserialização de dados não confiáveis em instâncias on-premises do SharePoint, permitindo RCE por atacantes não autenticados através da rede. Após o acesso, adversários podem forjar cargas confiáveis, mantendo persistência ou movendo-se lateralmente enquanto se disfarçam como operações legítimas do SharePoint.
Na orientação para clientes, a Microsoft confirmou que adversários estão explorando ativamente vulnerabilidades em sistemas SharePoint Server on-premises, que foram apenas parcialmente mitigadas na atualização de segurança de julho. Ambos os problemas afetam apenas implantações locais, enquanto o SharePoint Online do Microsoft 365 permanece sem impacto.
Para mitigar totalmente os riscos associados às falhas acima, o fornecedor lançou atualizações de segurança para o SharePoint Subscription Edition e SharePoint Server 2019. A Microsoft recomenda fortemente a instalação imediata dessas atualizações. A empresa também afirmou que uma correção completa está em testes rigorosos e será disponibilizada em uma atualização futura.
Até que o patch final seja lançado, a Microsoft recomenda fortemente habilitar a integração AMSI no SharePoint e executar o Microsoft Defender Antivirus em todos os servidores SharePoint. Se não for possível ativar o AMSI, os servidores vulneráveis devem ser desconectados da internet como precaução.
Em 20 de julho, a CISA emitiu um alerta confirmando a exploração ativa do CVE-2025-53770. Como medidas de mitigação, a CISA orienta as organizações a revisar as atualizações de segurança da Microsoft, monitorar requisições POST suspeitas para /ToolPane.aspx?DisplayMode=Edit, escanear IPs como 107.191.58[.]76, 104.238.159[.]149 e 96.9.125[.]147, atualizar regras IPS/WAF, ativar registros detalhados de eventos e reduzir privilégios administrativos.
A CISA colaborou rapidamente com a Microsoft para coordenar a resposta e alertar as organizações sobre as medidas essenciais. Este caso destaca o papel fundamental da colaboração operacional entre pesquisadores, fornecedores de tecnologia e a CISA para permitir identificação rápida de ameaças e defesa unificada para proteger a segurança nacional e cibernética.
A defesa cibernética coletiva e os esforços coordenados entre governos, empresas privadas e a comunidade de pesquisa em segurança são essenciais para enfrentar atores de ameaça modernos, permitindo uma detecção, resposta e resiliência mais rápidas frente a ataques cada vez mais sofisticados. A Plataforma SOC Prime para defesa cibernética coletiva, com suporte de IA, automação, inteligência de ameaças em tempo real e baseada em princípios de confiança zero, ajuda organizações globais a superar ameaças que exploram vulnerabilidades críticas e zero-days, ao mesmo tempo que constroem uma postura de cibersegurança resiliente.
