No dia 19 de julho de 2025, o Microsoft Security Response Center (MSRC) divulgou um alerta sobre ataques ativos a servidores SharePoint locais. Estas ações exploram duas vulnerabilidades sérias: CVE-2025-49706, que permite um ataque de spoofing, e CVE-2025-49704, que possibilita a execução remota de código. É importante destacar que essas falhas afetam apenas os servidores SharePoint que estão localizados nas instalações do cliente, e não o SharePoint Online do Microsoft 365.
Para proteger os usuários, a Microsoft lançou atualizações de segurança abrangentes para todas as versões suportadas do SharePoint Server, incluindo as edições Subscription, 2019 e 2016. A empresa recomenda que os clientes apliquem essas atualizações imediatamente para garantir sua segurança.
As atualizações incluem a correção de vulnerabilidades recentemente reveladas, como CVE-2025-53770, que está relacionada à vulnerabilidade CVE-2025-49704, e a CVE-2025-53771, que aborda uma falha de segurança associada à CVE-2025-49706.
A Microsoft identificou a exploração dessas vulnerabilidades por dois grupos de ameaça da China, conhecidos como Linen Typhoon e Violet Typhoon, além de outro ator ameaçador chamado Storm-2603. As investigações sobre outros possíveis atacantes ainda estão em andamento. Há uma preocupação crescente de que esses grupos continuem a integrar essas vulnerabilidades em seus ataques contra sistemas SharePoint que não foram atualizados.
A Microsoft aconselha seus clientes a utilizarem versões suportadas dos servidores SharePoint e a aplicarem as atualizações de segurança mais recentes. Para prevenir ataques não autenticados, os clientes são orientados a ativar a Antimalware Scan Interface (AMSI) e o Microsoft Defender Antivirus em todos os servidores SharePoint locais, além de girar as chaves de máquina ASP.NET dos servidores SharePoint e reiniciar o Internet Information Services (IIS).
A empresa observou que grupos de ameaçadores realizam atividades de reconhecimento e tentativas de exploração em servidores SharePoint por meio de requisições específicas. Depois de obter sucesso em suas tentativas, esses grupos utilizam um shell web como parte do ataque para roubar dados sensíveis.
Com as novas evidências de tentativa de exploração, a Microsoft fornece um conjunto de indicadores de comprometimento e orientações sobre como os clientes podem detectar e mitigar essas ameaças. A empresa enfatiza a necessidade de que os clientes atualizem seus sistemas e implementem as medidas de segurança recomendadas.
Os grupos de ameaça identificados utilizam várias táticas ao explorar essas vulnerabilidades, alinhadas com comportamentos observados anteriormente. Conhecidos por focar em espionagens e roubo de propriedade intelectual, esses grupos são considerados perigosos e ativos.
Assim, a Microsoft reforça que a aplicação imediata das atualizações de segurança é fundamental para proteger organizações contra essas ameaças emergentes e para mitigar riscos associados a essas falhas de segurança.
