A Microsoft lançou uma atualização emergencial para o SharePoint Server a fim de corrigir duas vulnerabilidades zero-day que foram ativamente exploradas em ataques a servidores locais em diversos países, sendo estimado que mais de 50 organizações já tenham sido vítimas.

As vulnerabilidades em questão são a CVE-2025-53770 e a CVE-2025-53771, que afetam as versões SharePoint Server Subscription Edition, SharePoint 2019 e SharePoint 2016. Vale destacar que essas vulnerabilidades não afetam o SharePoint 365, mas sim o SharePoint Server, que é a versão instalada localmente.

Essas duas vulnerabilidades zero-day permitem contornar as correções de segurança que haviam sido implementadas em uma atualização anterior da Microsoft para corrigir as vulnerabilidades CVE-2025-49706 e CVE-2025-49704.

O que essas duas novas vulnerabilidades permitem, quando exploradas em cadeia, é que um cibercriminoso execute código remotamente sem necessidade de autenticação, assumindo o controle do servidor da vítima. Em comunicado, a Microsoft descreveu a falha como "desserialização de dados não confiáveis".

Segundo explicaram pesquisadores ao Washington Post, "esses ataques permitem que os invasores extraiam chaves criptográficas de servidores de clientes que utilizam o SharePoint e, com essas chaves, possam instalar qualquer coisa, inclusive backdoors que permitiriam a cibercriminosos manter uma porta aberta para retornar posteriormente".

Desde a exploração dessas vulnerabilidades, os ataques conhecidos como "ToolShell" já afetaram empresas privadas e órgãos governamentais, segundo afirma a Cyberscoop. Embora algumas empresas de cibersegurança relatem que há registros de exploração desde 7 de julho, a atividade se intensificou nos dias 18 e 19 de julho, com tentativas de ataque direcionadas a empresas de telecomunicações, órgãos governamentais e empresas de software.

A Microsoft também recomenda que as organizações verifiquem qual versão do SharePoint utilizam e se ela possui suporte oficial para que seja possível instalar os patches. Além disso, orienta os clientes a configurarem manualmente as chaves de criptografia e validação (machine keys) do ASP.NET no servidor SharePoint e reiniciarem o IIS em todos os servidores SharePoint.

Para mais informações sobre os patches lançados pela Microsoft para corrigir essas vulnerabilidades, acesse a seguinte publicação (em inglês) no blog da Microsoft: Customer guidance for SharePoint vulnerability CVE-2025-53770.