Hackers exploram falha no SharePoint para invadir sistemas governamentais

Hackers exploram falha no SharePoint para invadir sistemas governamentais – Canaltech

Cibercriminosos exploraram uma vulnerabilidade de segurança no ToolShell do Microsoft Sharepoint para invadir diversas instituições governamentais em vários continentes, mesmo após a falha ter sido corrigida em um patch de julho deste ano. O problema em questão é o CVE-2025-53770, que permitia burlar a autenticação e executar códigos remotamente.

Várias agências foram alvo, de uma companhia de telecomunicações no Oriente Médio a departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos, nenhum deles especificado pelos responsáveis por estudar o caso: a Equipe de Caça a Ameaças Symantec, da companhia Broadcom.

Vulnerabilidades no Sharepoint

A vulnerabilidade CVE-2025-53770 foi, segundo análises, explorada em conjunto com duas outras falhas anteriores, CVE-2025-49704 e CVE-2025-49706. Três grupos hackers chineses foram vistos abusando desses problemas para criar malwares zero-day: Linen Typhoon (conhecidos pelo malware Budworm), Violet Typhoon (Sheathminer) e Storm-2603, este último ligado ao espalhamentos dos ransomwares Warlock, Lockbit e Babuk recentemente.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

O Microsoft Sharepoint teve uma falha relacionada ao ToolShell explorada mesmo após patches (Imagem: Microsoft/Divulgação)

A Symantec descobriu, ainda, que muitos outros grupos de cibercriminosos se aproveitaram da vulnerabilidade, como o Salt Typhoon (Glowworm), que usou o ToolShell para distribuir ferramentas maliciosas como Zingdoor, ShadowPad e KrustyLoader a dois governos de países africanos.

O KrustyLoader, em particular, é um vírus baseado em Rust usado pelo grupo chinês UNC5221 em ataques ao SAP NetWeaver e Ivanti Endpoint Manager Mobile.

Já os incidentes na América do Sul e Estados Unidos envolveram a exploração de vulnerabilidades não especificadas para invadir o SharePoint, aproveitando, em seguida, o acesso de servidores SQL e Apache HTTP rodando o software Adobe ColdFusion. Dessa forma, malwares foram entregues através de técnicas de evasão de DLL.

A vulnerabilidade CVE-2021-36942 (ou PetitPotem) também foi explorada para escalada de privilégios e comprometimento de domínios, junto a ferramentas living-off-the-land para facilitar o escaneamento, download de arquivos e roubo de credenciais nos sistemas infectados.

As vítimas possuem alguns aspectos em comum nos ataques, com características relacionadas ao Glowworm, mas ainda não é possível cravar um grupo culpado específico. Segundo os especialistas, os hackers estavam interessados em roubar credenciais e garantir acesso persistente e furtivo no sistema das vítimas, provavelmente para fins de espionagem.