Cinco cuidados para não ser vítima da falha no Microsoft SharePoint Server
Nos últimos dias, uma vulnerabilidade grave no Microsoft SharePoint Server (CVE-2025-53770) acendeu o alerta na comunidade de segurança. A falha, classificada com CVSS 9.8, permite que invasores executem código remotamente sem autenticação — ou seja, o servidor pode ser comprometido mesmo que não se conheça nenhum usuário ou senha.
Desde 18 de julho, pelo menos 85 servidores SharePoint foram atacados, afetando 29 organizações, incluindo bancos, governos e multinacionais nos EUA, Alemanha, França e Austrália.
O que está acontecendo com o Microsoft SharePoint Server?
A vulnerabilidade explorada é uma variação de outra falha corrigida em julho, mas essa nova brecha contorna completamente os patches anteriores. Os atacantes estão usando uma técnica apelidada de “ToolShell” para invadir os servidores, roubar chaves criptográficas e garantir acesso persistente.
O Google Threat Intelligence já confirmou casos de uso de webshells para roubo de segredos criptográficos — e, com isso, os atacantes conseguem forjar tokens válidos e navegar livremente dentro do ambiente.
Por que isso importa?
Porque tudo que depende de criptografia e autenticação está sob risco. Se os invasores têm acesso às machine keys do SharePoint, podem simular identidades e descriptografar informações protegidas. Isso impacta não só a segurança da informação, mas a integridade de processos inteiros — especialmente em ambientes que usam SharePoint para colaboração entre times, integrações com ERPs ou gestão de documentos sensíveis.
E o Brasil foi afetado?
Ainda não há relatos confirmados de ataques em território nacional. Mas isso não significa que estamos fora de risco. As organizações que utilizam SharePoint local (on-premises), não podem esperar que nisso ocorra para agir.
O que fazer agora?
Verifique se o SharePoint está exposto à internet.
Se estiver, considere desconectá-lo temporariamente enquanto o patch não é liberado. A Microsoft recomendou isso como medida preventiva.
Ative AMSI e o Microsoft Defender AV.
Essas ferramentas conseguem bloquear tentativas de ataque conhecidas, mesmo sem um patch.
Faça uma varredura no seu ambiente.
Busque por acessos estranhos à URL:
/_layouts/15/ToolPane.aspx?DisplayMode=Edit
Esse caminho está sendo usado nos ataques. Também verifique uploads suspeitos e alterações não autorizadas.
Monitore e revise suas chaves.
Se houver indícios de invasão, será necessário trocar as chaves criptográficas internas do SharePoint. Apenas aplicar um patch, nesse caso, não resolve o problema.
Alinhe comunicação e continuidade.
Caso decida desconectar o SharePoint, avise as equipes, documente os impactos e, se possível, planeje alternativas temporárias.
Os primeiros sendo os primeiros
Esse é um daqueles casos nos quais quem age primeiro sai na frente. Esperar por um incidente ou por um patch pode custar caro — em dados, reputação e operação.
Mesmo sem casos por aqui, as empresas brasileiras precisam revisar suas defesas agora. A falha é grave, está sendo explorada e não há correção oficial até o momento. Aqueles que lideram TI ou segurança, não podem esperar o problema bater na porta. Antecipe.
Matéria por: Thiago Guedes
(*) Thiago Guedes é CEO da Deserv, empresa especializada em segurança da informação e privacidade dos dados