Os administradores de sistemas deverão corrigir quanto antes uma falha crítica no SharePoint, que está a ser usada em ataques em grande escala.
Uma vulnerabilidade grave no SharePoint, identificada como CVE-2025-53770, está a ser amplamente explorada por grupos ligados ao governo chinês. A falha, que permite execução remota de código sem autenticação, já comprometeu centenas de sistemas em poucos dias, incluindo redes críticas nos EUA.
O nome ToolShell vem de um conjunto de falhas demonstradas numa competição de segurança em Maio, que permitiam explorar o componente ToolPane.aspx do SharePoint. Embora a Microsoft tenha lançado correcções para as vulnerabilidades originais, descobriu-se que os patches estavam incompletos, deixando as portas abertas para novos ataques. Os grupos responsáveis – Linen Typhoon, Violet Typhoon e um terceiro grupo desconhecido baptizado de Storm-2603 – estão a usar backdoors baseados em webshells para obter privilégios administrativos, contornar autenticação multifactor, e roubar dados sensíveis.
Os ataques funcionam através de pedidos POST enviados ao endpoint ToolPane, que instalam scripts maliciosos. Estes scripts acedem à chave de encriptação do servidor SharePoint (MachineKey), decifram-na e devolvem o conteúdo aos atacantes, que assim conseguem acesso total aos sistemas. Mesmo sistemas com autenticação forte estão vulneráveis se não tiverem sido actualizados correctamente.
Para quem gere um servidor SharePoint local, a prioridade absoluta é aplicar os patches de emergência da Microsoft. No entanto, actualizar não é suficiente: recomenda-se uma análise aos registos de eventos à procura de sinais de intrusão, já que os ataques podem passar despercebidos. Várias entidades de segurança publicaram guias com indicadores de compromisso, incluindo a própria Microsoft (no link acima).