Zero-Days TOOLSHELL - SharePoint Servers

Foram identificadas vulnerabilidades TOOLSHELL através de comprometimento de servidores SharePoint, plataforma amplamente utilizada por empresas e governos.

Publicado em 15/07/2025 19:42Modificado em 08/04/2026 21:37
Compartilhe:

ZERO-DAYS TOOLSHELL: UMA AMEAÇA CRÍTICA AOS SHAREPOINT SERVERS ON-PREMISES

Conforme noticiado na imprensa nacional e internacional, foram identificadas vulnerabilidades TOOLSHELL através de comprometimento de servidores SharePoint, plataforma amplamente utilizada por empresas e governos.

Uma nova e perigosa vulnerabilidade SharePoint está sendo ativamente explorada por cibercriminosos. As falhas CVE-2025-53770 e CVE-2025-53771, ambas do tipo Zero-Day, permitem execução remota de código (RCE) em servidores Microsoft SharePoint on-premises, ou seja, aqueles instalados e gerenciados localmente.

As vulnerabilidades CVE-2025-53770 e CVE-2025-53771 exploram uma falha lógica que permite burlar os patches anteriores destinados a corrigir as CVE-2025-49706 e CVE-2025-49704.

Essas novas falhas afetam apenas servidores Microsoft SharePoint on-premises, ou seja, instalações locais sob controle direto da empresa. O SharePoint Online (Microsoft 365) não é impactado por esse problema.

O grande risco dessas vulnerabilidades está na capacidade dos invasores de executar código remotamente sem autenticação, o que pode permitir o controle completo do servidor e acesso a dados confidenciais.

Patches Disponíveis

A Microsoft liberou patches de emergência para as versões Microsoft SharePoint On-Premises e Microsoft SharePoint Server 2019, mas ainda não há patches para a versão Microsoft SharePoint Server 2016:

  • Microsoft SharePoint Server 2019 - KB5002754 e KB5039998
  • Microsoft SharePoint Server Subscription Edition - KB5002768 e KB5039999
  • Microsoft SharePoint Server 2016 – N/A

Recomendações para Mitigação

  1. Verifique a presença do arquivo malicioso:
    C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
  2. Análise de logs do IIS:
    • Requisições POST para: _layouts/15/ToolPane.aspx
    • Verifique se o referenciador HTTP é: _layouts/SignOut.aspx
  3. Endereços IP suspeitos identificados:107.191.58[.]76
    104.238.159[.]149
    96.9.125[.]147
  4. Aplicar as seguintes atualizações de segurança:
    Ative a integração com AMSI (Antimalware Scan Interface) da Microsoft:
  5. Rotacione as chaves de máquina (Machine Keys):
    Se houver indícios de comprometimento, ou por precaução, é essencial invalidar as chaves roubadas.
  6. Desconecte o servidor da internet:
    Se não for possível aplicar as mitigações imediatamente, a recomendação oficial da Microsoft é isolar os servidores SharePoint vulneráveis da internet.

Conclusão: Um cenário de risco ativo que exige ação imediata

Estamos diante de uma vulnerabilidade SharePoint crítica e explorada ativamente. O risco de execução remota de código sem autenticação é real e atual, exigindo uma resposta técnica rápida e precisa.

Compartilhe: