RESUMO
A vulnerabilidade crítica CVE-2025-53770, apelidada de ToolShell, está sendo ativamente explorada por agentes maliciosos para comprometer servidores Microsoft SharePoint on-premises. A falha permite execução remota de código não autenticada, extração de chaves criptográficas sensíveis e implantação de ransomwares.
A exploração ocorre por meio de uma cadeia de ataques que combina as vulnerabilidades CVE-2025-49706 (bypass de autenticação via spoofing) e CVE-2025-49704 (deserialização insegura), possibilitando o controle total dos sistemas afetados.
A ameaça é classificada com CVSS 9.8 (Crítica) e já comprometeu dezenas de organizações públicas e privadas. Este artigo técnico detalha os vetores de ataque, os impactos operacionais, os indicadores de comprometimento (IoCs) e as ações recomendadas de mitigação com base em orientações oficiais da Microsoft.
Nota importante
• Se você utiliza Microsoft SharePoint na nuvem da Microsoft, como parte do pacote Microsoft 365, ESSA VULNERABILIDADE NÃO SE APLICA A VOCÊ.
• Se você usa sua própria instalação Microsoft SharePoint on-premises, seja no seu datacenter físico ou em colocation privado, ESSE ALERTA SE APLICA A VOCÊ.
Introdução
A vulnerabilidade CVE-2025-53770, apelidada de ToolShell, é uma falha crítica de execução remota de código (RCE) que afeta servidores on-premises do Microsoft SharePoint. Ela é uma variante da vulnerabilidade anterior CVE-2025-49706 e está sendo ativamente explorada em ataques reais. A exploração ocorre por meio de uma cadeia de vulnerabilidades que combina:
- CVE-2025-49706: Permite bypass de autenticação por meio de técnicas de spoofing de rede, proporcionando acesso não autenticado aos sistemas.
- CVE-2025-49704: Explora uma deserialização insegura de objetos manipulados, permitindo execução remota de código e acesso autenticado subsequente.
Essa cadeia de exploração, publicamente conhecida como ToolShell, foi demonstrada na competição Pwn2Own Berlin em maio de 2025 e possibilita que atores maliciosos obtenham controle total sobre os servidores SharePoint afetados. Os impactos incluem:
- Acesso irrestrito ao conteúdo: Arquivos, configurações internas e sistemas de arquivos armazenados no SharePoint.
- Execução remota de código: Capacidade de executar comandos maliciosos na rede interna, incluindo a implantação de web shells (.aspx), executáveis (.exe) e bibliotecas dinâmicas (.dll).
- Persistência de acesso: Extração de chaves criptográficas (
ValidationKeyeDecryptionKey), permitindo a criação de tokens de autenticação forjados, mesmo após a aplicação de patches. - Escalada de ataques: Recentemente, observou-se o uso de técnicas de criptografia de arquivos e a distribuição do ransomware Warlock, indicando um aumento no potencial destrutivo dos ataques.
A vulnerabilidade está relacionada a uma deserialização insegura de dados não confiáveis no endpoint /ToolPane.aspx, explorado por meio de solicitações HTTP POST com cabeçalhos Referer forjados (ex.: apontando para /_layouts/SignOut.aspx). A pontuação CVSS da CVE-2025-53770 é 9.8 (Crítica), refletindo sua gravidade devido à facilidade de exploração e ao impacto devastador.
Contexto e impacto
O SharePoint é amplamente utilizado por organizações para colaboração e armazenamento de documentos, integrando-se a serviços como Office, Teams e OneDrive. A exploração ativa da ToolShell, adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (Known Exploited Vulnerabilities – KEV) da CISA em 20 de julho de 2025, já comprometeu mais de 85 servidores em 54 organizações, incluindo agências governamentais, empresas de energia e universidades. Relatos apontam envolvimento de atores estatais chineses, como Linen Typhoon, Violet Typhoon e Storm-2603, em campanhas sofisticadas.
A combinação de acesso não autenticado, execução de código e implantação de ransomware amplia o risco, podendo resultar em:
- Violações de dados sensíveis.
- Interrupções operacionais críticas.
- Comprometimento de sistemas interconectados na rede.
Detalhes técnicos
A exploração da ToolShell ocorre em duas etapas principais:
- Bypass de autenticação (CVE-2025-49706): Atacantes utilizam técnicas de spoofing para enviar solicitações HTTP POST maliciosas, manipulando cabeçalhos Referer e explorando falhas de validação no endpoint
/ToolPane.aspx. - Execução remota de código (CVE-2025-49704): A deserialização insegura de objetos manipulados permite a execução de payloads maliciosos, resultando em RCE. Isso inclui a criação de web shells (ex.:
spinstall0.aspx) e a extração de chaves criptográficas.
Os atacantes também evoluíram suas táticas, empregando:
- Payloads variados: Além dos tradicionais web shells (.aspx) e executáveis (.exe), também foram detectadas bibliotecas dinâmicas (.dll), ampliando a superfície de ataque.
- Ransomware Warlock: Técnicas de criptografia de arquivos e distribuição de ransomware foram detectadas, indicando uma escalada no impacto dos ataques.
Essas táticas demonstram a sofisticação dos operadores e reforçam a urgência na aplicação das medidas de mitigação descritas a seguir.
Mitigações recomendadas
A Microsoft lançou atualizações de segurança em 21 de julho de 2025 para as versões suportadas do SharePoint Server (2016, 2019 e Subscription Edition), abordando a CVE-2025-53770 e a CVE-2025-53771 (uma vulnerabilidade de spoofing relacionada, mas não explorada ativamente). As seguintes medidas são recomendadas:
- Aplicar patches imediatamente: instale as atualizações de segurança mais recentes para SharePoint Server 2016, 2019 e Subscription Edition.
- Habilitar o AMSI: O Antimalware Scan Interface, ativado por padrão em atualizações de setembro de 2023 (SharePoint Server 2016/2019) e na versão 23H2 (Subscription Edition), pode bloquear exploits não autenticados.
- Implantar o Microsoft Defender Antivirus: Ative o Defender em todos os servidores SharePoint para detectar e mitigar atividades maliciosas.
- Rotacionar chaves criptográficas: Antes e após aplicar patches, rotacione as chaves
ValidationKeyeDecryptionKeydo ASP.NET e reinicie o servidor IIS. - Desconectar servidores expostos: Servidores SharePoint voltados para a internet, especialmente versões obsoletas (ex.: SharePoint Server 2013), devem ser desconectados até serem atualizados.
- Monitorar logs: Verifique solicitações POST ao endpoint
/_layouts/15/ToolPane.aspxe a criação de arquivos suspeitos, comospinstall0.aspx. - Restringir privilégios: Audite e minimize privilégios administrativos e de layout no SharePoint.
- Bloquear IPs maliciosos: Monitore e bloqueie tráfego de IPs associados aos ataques, como 1
07.191.58.76, 104.238.159.149, 96.9.125.147 e 45.77.155.170.
Indicadores de Comprometimento (IoCs)
- Arquivos suspeitos:
spinstall0.aspx,webshells customizados (.aspx, .dll, .exe) - Endpoints observados:
/ToolPane.aspx,/_layouts/15/ToolPane.aspx. - IPs maliciosos:
107.191.58.76 , 104.238.159.149 , 96.9.125.147 , 45.77.155.170
Riscos e Considerações
A exploração da ToolShell é facilitada pela ausência de autenticação necessária e pela capacidade de extrair chaves criptográficas, garantindo acesso persistente. A introdução do ransomware Warlock eleva o risco, podendo causar perdas financeiras e operacionais significativas.
Conclusão
A vulnerabilidade CVE-2025-53770 (ToolShell), combinada com as falhas CVE-2025-49706 e CVE-2025-49704, representa uma ameaça crítica para servidores SharePoint on-premises. A aplicação imediata de patches, a habilitação do AMSI, a rotação de chaves criptográficas e o monitoramento contínuo são essenciais para mitigar os riscos. A escalada para ataques de ransomware, como o Warlock, reforça a necessidade de uma resposta rápida e coordenada. Para mais detalhes, consulte as orientações oficiais da Microsoft Microsoft:
Referências
- Microsoft Security Response Center (MSRC).
Disrupting Active Exploitation of On-Premises SharePoint Vulnerabilities.
Disponível em: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770 - Cybersecurity and Infrastructure Security Agency (CISA).
Microsoft Releases Guidance on Exploitation of SharePoint Vulnerabilities.
Disponível em: https://www.cisa.gov/news-events/alerts/2025/microsoft-sharepoint-vulnerabilities - CISA – Known Exploited Vulnerabilities Catalog.
CVE-2025-53770 – SharePoint Remote Code Execution Vulnerability.
Disponível em: https://www.cisa.gov/known-exploited-vulnerabilities-catalog - Zero Day Initiative (ZDI) – Trend Micro.
Pwn2Own Berlin 2025: Results and Exploits Summary.
Disponível em: https://www.zerodayinitiative.com/blog/2025/berlin-pwn2own-results - Microsoft Learn Documentation.
Antimalware Scan Interface (AMSI) for SharePoint Server.
Disponível em: https://learn.microsoft.com/en-us/sharepoint/install/antimalware-scan-interface - MITRE Corporation.
CVE-2025-53770 – Remote Code Execution in Microsoft SharePoint.
Disponível em: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-53770
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.