Alerta vermelho no SharePoint

Uma vulnerabilidade crítica no Microsoft SharePoint está a ser explorada em larga escala por cibercriminosos. A Check Point Research (CPR) identificou que a vulnerabilidade de execução remota de código (RCE) no Microsoft SharePoint on-premise, com o nome de código CVE-2025-53770 está no centro desta ameaça, sendo Portugal o segundo país mais afetado, com 12% de todas as tentativas registadas, apenas ultrapassado pelos Estados Unidos, que acumula 32%.

Na prática o que está a acontecer é mais simples do que parece. O Microsoft SharePoint é como um cofre digital usado por empresas e outras entidades para guardar documentos, partilhar informação e colaborar em projetos. Muitas organizações em Portugal utilizam-no todos os dias e muitos mantêm-no instalado diretamente nos seus próprios servidores (ou seja, “on-premise”). Agora, imagine que esse cofre tem uma falha na fechadura. Uma falha que permite que alguém do lado de fora, sem chave nem autorização, consiga abrir a porta do cofre à distância e mexer em tudo lá dentro. É isso que está a acontecer.

Os hackers descobriram uma falha muito grave (chamada “zero-day”) que lhes permite entrar nesses servidores SharePoint sem ninguém dar por isso. Uma vez lá dentro, podem:

• Executar comandos como se fossem os donos do sistema;
• Roubar dados confidenciais;
• Espionar as comunicações;
• Ou até lançar outros ataques a partir dali.

Este ataque chama-se ToolShell e funciona de forma particularmente engenhosa, ou seja, os criminosos enviam comandos escondidos em códigos aparentemente normais, que o SharePoint processa sem suspeitar, abrindo assim a “porta” para os invasores. O mais preocupante é que a Microsoft ainda não lançou uma correção definitiva para este problema, embora tenha publicado um guia de mitigação e a CISA tenha emitido um alerta.

Para poderem limitar os danos, as empresas devem adotar medidas de contenção, como mudar chaves digitais, reforçar sistemas de segurança e impedir o acesso público ao SharePoint. Em suma, «é imperativo que as empresas atualizem os seus sistemas de segurança sem demora», alerta Lotem Finkelstein, Diretor de Threat Intelligence na Check Point Research.

Ataque em escalada

A campanha ToolShell intensificou-se nos dias 18 e 19 de julho, com múltiplas tentativas de intrusão confirmadas em servidores localizados nos EUA e Europa. Os atacantes utilizam um webshell personalizado para explorar parâmetros através de VIEWSTATE, recorrendo a ataques de desserialização insegura.

Os investigadores da CPR confirmaram ainda que os cibercriminosos estão a explorar simultaneamente outras vulnerabilidades conhecidas na plataforma Ivanti Endpoint (CVE-2025-4427 e CVE-2025-4428), numa ação coordenada que visa maximizar o impacto da intrusão.

Foram ainda identificados três endereços IP associados a esta campanha maliciosa:

• 104.238.159.149
• 107.191.58.76
• 96.9.125.147

Como reagir?

A CPR partilhou um conjunto de ações imediatas para mitigar os riscos desta ameaça crítica:

• Confirmar que o software de Anti-Malware Scan está ativo;
• Rodar as chaves ASP.NET nos servidores SharePoint;
• Utilizar software para bloquear atividades pós-exploração;
• Restringir o acesso público ao SharePoint, preferindo soluções de acesso privado sempre que possível;
• Utilizar soluções para inspecionar todo o tráfego SharePoint.

---