O CVE-2025-53770 é um zero-day com pontuação CVSS 9.8 que afeta servidores Microsoft SharePoint on-premises. A falha permite execução remota de código sem autenticação e está sendo explorada ativamente por grupos de ameaças chineses desde 7 de julho de 2025. A Microsoft já lançou patches para todas as versões afetadas, mas empresas brasileiras que mantêm SharePoint local precisam aplicar as correções imediatamente e rotacionar as chaves criptográficas do servidor.
CVE-2025-53770 em resumo
Um zero-day com CVSS 9.8 no Microsoft SharePoint Server está sob exploração ativa desde 7 de julho de 2025. A vulnerabilidade CVE-2025-53770 permite execução remota de código sem autenticação em servidores SharePoint on-premises, e ataques foram atribuídos a grupos patrocinados pelo estado chinês. A Microsoft já lançou patches, mas empresas brasileiras com SharePoint local precisam agir agora.
O que é o CVE-2025-53770
O CVE-2025-53770 é uma falha de desserialização de dados não confiáveis no Microsoft SharePoint Server. Classificada com CVSS 9.8 pela NVD, a vulnerabilidade permite que um atacante execute código arbitrário remotamente, sem precisar de credenciais, sem interação do usuário e sem qualquer tipo de autenticação. Afeta exclusivamente servidores SharePoint on-premises — o SharePoint Online no Microsoft 365 não é impactado.
Os produtos afetados são o Microsoft SharePoint Server 2016, o SharePoint Server 2019 e o SharePoint Server Subscription Edition. Qualquer organização brasileira que mantenha esses servidores expostos à internet está no alvo.
A falha é uma variante do CVE-2025-49706, uma vulnerabilidade de bypass de autenticação que a Microsoft corrigiu no Patch Tuesday de julho de 2025. A diferença crítica: o patch original não cobriu completamente a superfície de ataque, e cibercriminosos encontraram uma forma de contornar a correção em poucos dias.
Como funciona o ataque
A cadeia de exploração, batizada de “ToolShell” pelos pesquisadores da Viettel Cyber Security no Pwn2Own Berlin de maio de 2025, combina duas falhas — bypass de autenticação (CVE-2025-49706) e injeção de código (CVE-2025-49704) — para roubar as chaves criptográficas do servidor (MachineKey) e forjar payloads __VIEWSTATE confiáveis.
Segundo a Help Net Security, a equipe da Eye Security (Holanda) identificou que os atacantes não usam webshells convencionais. Em vez disso, um arquivo spinstall0.aspx é depositado no servidor com um único objetivo: extrair as chaves ValidationKey e DecryptionKey do MachineKey do ASP.NET via uma simples requisição GET.
Com essas chaves em mãos, qualquer requisição autenticada ao SharePoint vira uma oportunidade de execução remota de código. O resultado é acesso total ao servidor — contratos, dados financeiros, registros de clientes e código-fonte ficam completamente expostos.
Quem está por trás dos ataques
A Microsoft confirmou que dois grupos de ameaças chineses patrocinados pelo estado — identificados como “Storm-2603” e variantes da família “Typhoon” — estão explorando a falha. A Security Affairs relata que a CISA (agência de cibersegurança dos EUA) adicionou o CVE-2025-53770 ao seu catálogo de vulnerabilidades conhecidas e exploradas (KEV).
Múltiplas empresas de segurança detectaram os ataques simultaneamente: Eye Security, Palo Alto Networks, Check Point, SentinelOne, Trend Micro, Rapid7 e Bitdefender. A Check Point registrou a primeira tentativa de exploração em 7 de julho, com o alvo sendo um governo ocidental. As ondas massivas começaram no dia 17 e se intensificaram nos dias 18 e 19 de julho, atingindo organizações nos setores governamental, de software e telecomunicações.
A Sentra detalhou que um atacante pode ir de uma varredura ao controle total do servidor em menos de cinco minutos, usando quatro passos simples: identificar alvos via scanners públicos como Shodan, confirmar o endpoint do SharePoint, sondar a vulnerabilidade e enviar um único POST não autenticado.
Impacto real para empresas brasileiras
O Brasil possui milhares de organizações que dependem de implantações on-premises do SharePoint para gestão documental, intranets corporativas e colaboração interna. Setores como finanças, saúde e governo — que operam sob regulamentações como a LGPD — correm risco duplicado: o de perda de dados e o de não conformidade regulatória.
Segundo a equipe do Help Net Security, após o ataque inicial, os atacantes conseguem burlar MFA e SSO, exfiltrar dados sensíveis, implantar backdoors persistentes e roubar chaves criptográficas. A SentinelOne identificou múltiplos grupos de ameaças alinhados a estados começando atividades de reconhecimento e exploração precoce.
O risco é agravado porque muitos ambientes on-premises no Brasil não possuem monitoramento de endpoint moderno (EDR) ou integração AMSI configurada corretamente, tornando a detecção de atividade pós-exploração praticamente impossível sem ferramentas dedicadas.
O que fazer agora
A Microsoft lançou atualizações de segurança para todas as versões afetadas. As empresas devem:
- Aplicar os patches imediatamente: KB5002768 (Subscription Edition), KB5002754 (SharePoint 2019) e KB5002760 (SharePoint 2016), conforme a orientação oficial da Microsoft.
- Habilitar a AMSI (Antimalware Scan Interface) no SharePoint e implantar o Microsoft Defender Antivirus em todos os servidores. A AMSI passou a vir habilitada por padrão desde setembro de 2023, mas muitos ambientes ainda não a têm ativa.
- Rodar as chaves MachineKey do ASP.NET após aplicar o patch — as chaves atuais podem ter sido comprometidas durante o período de vulnerabilidade.
- Verificar indicadores de comprometimento: procurar o arquivo spinstall0.aspx no diretório de instalação do SharePoint, analisar logs de acesso anormais e monitorar requisições GET suspeitas que retornam chaves criptográficas.
- Implantar EDR (Microsoft Defender for Endpoint ou equivalente) para detectar atividade pós-exploração, caso a rede já tenha sido comprometida.
Por que esse caso é diferente
O que torna o CVE-2025-53770 particularmente perigoso é a combinação de três fatores: exploração sem necessidade de credenciais, a velocidade com que grupos APT a adotaram (menos de duas semanas após a divulgação técnica), e o fato de que muitos administradores de TI no Brasil ainda consideram o SharePoint on-premises “seguro o suficiente” por estar atrás de firewalls ou VPNs.
A realidade é que um servidor SharePoint exposto à internet — mesmo indiretamente via reverse proxy — pode ser comprometido em menos de cinco minutos sem que nenhum alerta seja disparado. A lição deste caso é clara: patch é apenas o primeiro passo. Rotação de chaves, monitoramento contínuo e validação de integridade são igualmente indispensáveis.
Leia também
- ConsentFix e ClickFix: roubam sua conta M365 em 3 segundos
- PoC do bypass NTLM dá acesso SYSTEM ao Windows Server
- Backup é suficiente para se recuperar de um ataque de ransomware?
Referências
- Microsoft MSRC — Customer guidance for SharePoint vulnerability CVE-2025-53770
- Help Net Security — Microsoft SharePoint servers under attack via zero-day
- Security Affairs — SharePoint zero-day CVE-2025-53770 actively exploited
- Help Net Security — Microsoft pins SharePoint attacks on Chinese threat actors
- Sentra — CVE-2025-53770: A Wake-Up Call for Every SharePoint Customer
- CISA — Known Exploited Vulnerabilities (KEV) Catalog