Onda de ataques exploram falha zero-day em SharePoint on-premises
julho 21, 2025

Onda de ataques exploram falha zero-day em SharePoint on-premises

9

Opa! Tudo certo? Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo Onda de ataques exploram falha zero-day em SharePoint on-premises”. Acesse o site da Uni Academy (https://uniacademy.com.br/) e conheça todos os meus cursos. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal do Youtube, deixar o seu like e compartilhar esse artigo, para fortalecermos a nossa comunidade. Um grande abraço e boa leitura.

 

Onda de ataques exploram falha zero-day em SharePoint on-premises

Uma onda coordenada de ataques cibernéticos está explorando uma falha zero-day em servidores Microsoft SharePoint on-premises, atingindo milhares de organizações em todo o mundo. A vulnerabilidade, ainda sem patch para todas as versões, permite execução remota de código e pode dar aos invasores controle total dos ambientes afetados.

 

Alvo global: empresas, governos e universidades sob risco

O ataque começou a ser detectado por equipes de segurança em junho de 2025, mas ganhou escala alarmante nesta semana. Pesquisadores confirmaram que agentes maliciosos estão explorando ativamente a vulnerabilidade em ambientes SharePoint Server 2016, 2019 e Subscription Edition. Entre os alvos já identificados estão órgãos públicos nos EUA e na Europa, universidades na América Latina, companhias de energia e operadoras de telecomunicações.

Segundo um relatório divulgado pela CISA (Cybersecurity and Infrastructure Security Agency), trata-se de uma ameaça sofisticada, com potencial para comprometer dados confidenciais e infraestrutura crítica.

 

Natureza da vulnerabilidade: execução remota e persistência

A falha explorada permite a execução remota de código (RCE) por meio da injeção de comandos maliciosos em bibliotecas manipuladas por serviços SharePoint. Mais grave ainda é o fato de que, após o ataque inicial, os invasores conseguem manter persistência no ambiente por meio de backdoors e roubo de credenciais.

Segundo especialistas da Microsoft e da Mandiant, mesmo após a aplicação dos patches, há evidências de que chaves criptográficas e tokens de autenticação foram exfiltrados, permitindo acesso contínuo aos ambientes comprometidos.

 

Microsoft responde: atualizações emergenciais e recomendações

A Microsoft agiu rapidamente após a detecção da campanha, lançando atualizações de segurança para as versões 2019 e Subscription Edition (KB5002768 e KB5002754). A correção para a versão 2016 ainda está em desenvolvimento, o que mantém centenas de servidores expostos.

Além dos patches, a Microsoft recomenda:

  • Desconectar servidores vulneráveis da internet;
  • Ativar o Microsoft Defender for Endpoint com integração AMSI;
  • Monitorar logs de autenticação anômala;
  • Rotacionar todas as chaves e certificados utilizados pelo ambiente;
  • Avaliar migração urgente para o SharePoint Online, mais resiliente a esse tipo de ataque.

 

Impacto potencial: espionagem, ransomware e vazamento de dados

Ainda que a origem do ataque não tenha sido oficialmente atribuída, fontes ligadas à investigação indicam grupos patrocinados por Estados-nação com motivação voltada à espionagem industrial, vigilância e, em alguns casos, preparação para extorsão via ransomware.

Especialistas alertam que, mesmo que os servidores sejam atualizados, ambientes comprometidos podem continuar em risco se medidas de contenção mais profundas não forem implementadas.

 

Como saber se você foi afetado?

Organizações que operam SharePoint on-premises devem:

  • Verificar logs de execução de PowerShell e tarefas agendadas;
  • Auditar contas administrativas e tokens de acesso persistente;
  • Usar ferramentas de Threat Hunting para identificar anomalias;
  • Escanear retroativamente os servidores com soluções como Microsoft Defender, CrowdStrike ou SentinelOne.

A Microsoft também lançou um script de verificação para detectar possíveis indícios de exploração da falha. O script está disponível no GitHub oficial da MSRC.

 

Recomendação estratégica: abandonar on-premises?

Esse novo ataque reacende o debate sobre a viabilidade de manter soluções Microsoft em data centers próprios. Embora o SharePoint Online ofereça maior proteção nativa contra essas ameaças, muitas empresas ainda resistem à migração por questões regulatórias ou técnicas.

No entanto, a frequência crescente de ataques contra ambientes locais da Microsoft está forçando executivos de segurança a reavaliar sua postura. Analistas apontam que os custos com atualizações, resposta a incidentes e mitigação de vulnerabilidades podem superar os investimentos em nuvem, especialmente em contextos de alta criticidade.

O ataque zero-day contra o Microsoft SharePoint on-premises representa um dos eventos de segurança corporativa mais graves de 2025. Sua sofisticação, amplitude e persistência exigem respostas imediatas e coordenadas. Profissionais de segurança devem agir rapidamente para mitigar os impactos e evitar comprometimentos mais profundos.

Se você ainda mantém SharePoint localmente, o momento de revisar sua estratégia de continuidade e segurança é agora.

E aí! Curtiu esse artigo? Então não esquece de comentar, deixar o seu like, e compartilhar em suas redes sociais.

 

Acesso Black!

Todos os meus Cursos em um único lugar.

Clique AQUI e se torne um aluno Black.

 

Cursos de Especialização

 

Cursos preparatórios para Certificações

Escolha umas das certificações a seguir e seja aprovado em até 4 semanas:

Clique AQUI e garanta a sua Vaga!

Falha crítica no Microsoft Entra ID permite escalonamento a Global Administrator
Previews Post
30 comandos de Prompt de Comando que você precisa conhecer
Next Post