Hackers exploram falha no SharePoint para invadir sistemas governamentais

Cibercriminosos exploraram uma vulnerabilidade de segurança no ToolShell do Microsoft Sharepoint para invadir diversas instituições governamentais em vários continentes, mesmo após a falha ter sido corrigida em um patch de julho deste ano. O problema em questão é o CVE-2025-53770, que permitia burlar a autenticação e executar códigos remotamente.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que significa "Zero Trust" (Confiança Zero)?

Várias agências foram alvo, de uma companhia de telecomunicações no Oriente Médio a departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos, nenhum deles especificado pelos responsáveis por estudar o caso: a Equipe de Caça a Ameaças Symantec, da companhia Broadcom.

Vulnerabilidades no Sharepoint

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A vulnerabilidade CVE-2025-53770 foi, segundo análises, explorada em conjunto com duas outras falhas anteriores, CVE-2025-49704 e CVE-2025-49706. Três grupos hackers chineses foram vistos abusando desses problemas para criar malwares zero-day: Linen Typhoon (conhecidos pelo malware Budworm), Violet Typhoon (Sheathminer) e Storm-2603, este último ligado ao espalhamentos dos ransomwares Warlock, Lockbit e Babuk recentemente.

A Symantec descobriu, ainda, que muitos outros grupos de cibercriminosos se aproveitaram da vulnerabilidade, como o Salt Typhoon (Glowworm), que usou o ToolShell para distribuir ferramentas maliciosas como Zingdoor, ShadowPad e KrustyLoader a dois governos de países africanos.

O KrustyLoader, em particular, é um vírus baseado em Rust usado pelo grupo chinês UNC5221 em ataques ao SAP NetWeaver e Ivanti Endpoint Manager Mobile.

Já os incidentes na América do Sul e Estados Unidos envolveram a exploração de vulnerabilidades não especificadas para invadir o SharePoint, aproveitando, em seguida, o acesso de servidores SQL e Apache HTTP rodando o software Adobe ColdFusion. Dessa forma, malwares foram entregues através de técnicas de evasão de DLL.

A vulnerabilidade CVE-2021-36942 (ou PetitPotem) também foi explorada para escalada de privilégios e comprometimento de domínios, junto a ferramentas living-off-the-land para facilitar o escaneamento, download de arquivos e roubo de credenciais nos sistemas infectados.

As vítimas possuem alguns aspectos em comum nos ataques, com características relacionadas ao Glowworm, mas ainda não é possível cravar um grupo culpado específico. Segundo os especialistas, os hackers estavam interessados em roubar credenciais e garantir acesso persistente e furtivo no sistema das vítimas, provavelmente para fins de espionagem.

Confira também:

• O que é phishing e como se proteger?
• Ataque hacker mira hotéis no Brasil para roubar dados de cartões de hóspedes
• Ataque hacker vaza exames e fotos de pacientes de clínicas no Brasil

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]

Fonte: Symantec/Broadcom