Sumário Executivo
Em 19 de julho de 2025, a Microsoft publicou um aviso emergencial para a CVE-2025-53770, uma vulnerabilidade crítica de execução remota de código que afeta servidores SharePoint on-premises. Com pontuação CVSS de 9.8 e exploração ativa como zero-day já em andamento, essa vulnerabilidade representa um dos incidentes de segurança mais graves do SharePoint nos últimos tempos.
A vulnerabilidade decorre da desserialização inadequada de dados não confiáveis no endpoint ToolPane.aspx. Quando combinada com o bypass de autenticação da CVE-2025-53771, os atacantes conseguem execução remota de código sem autenticação — o pior cenário possível para qualquer aplicação corporativa. Em até 72 horas após uma prova de conceito tornar-se publicamente disponível, campanhas de exploração em massa começaram a visar organizações ao redor do mundo.
O que torna a CVE-2025-53770 particularmente perigosa é seu impacto pós-exploração. Os atacantes não apenas executam código; eles extraem a configuração criptográfica MachineKey do servidor, possibilitando acesso persistente que sobrevive à aplicação de patches. As organizações precisam não apenas aplicar os patches, mas também rotacionar chaves criptográficas e realizar avaliações minuciosas de comprometimento.
Principais Conclusões
Classificação de severidade crítica
Tempo entre a divulgação e os ataques em massa
Pico diário de tentativas observado
Recompensa original pela descoberta
Sistemas Afetados e Patches
A CVE-2025-53770 afeta todas as instalações on-premises do SharePoint Server. O SharePoint Online no Microsoft 365 não é impactado. A Microsoft publicou patches que tratam da vulnerabilidade — as organizações devem aplicá-los imediatamente.
| Produto | Build Corrigido | Artigo KB | Status |
|---|---|---|---|
| SharePoint Server Subscription Edition | 16.0.18526.20508 | KB5002768 | Patch Disponível |
| SharePoint Server 2019 | 16.0.10417.20037 | KB5002754 | Patch Disponível |
| SharePoint Enterprise Server 2016 | 16.0.5513.1001 | KB5002760 | Patch Disponível |
| SharePoint Online (Microsoft 365) | N/D | N/D | Não Afetado |
Cadeia de Ataque ToolShell
Bypass de Autenticação (CVE-2025-53771)
Os atacantes enviam requisições POST para /_layouts/15/ToolPane.aspx com um cabeçalho Referer manipulado apontando para /_layouts/SignOut.aspx. Isso engana o SharePoint, fazendo-o tratar a requisição como confiável e ignorando completamente as verificações de autenticação.
Execução Remota de Código (CVE-2025-53770)
Com a autenticação contornada, os atacantes enviam payloads serializados maliciosos no corpo da requisição POST. O processo vulnerável de desserialização executa comandos PowerShell embutidos no lado do servidor, alcançando a execução arbitrária de código.
Persistência via Roubo de Chaves
Os atacantes implantam um web shell (spinstall0.aspx) e extraem o ValidationKey e o DecryptionKey do servidor a partir da configuração MachineKey. Esses segredos criptográficos permitem forjar indefinidamente tokens de autenticação e payloads ViewState.
Linha do Tempo da Exploração
Análise Técnica
A causa-raiz da CVE-2025-53770 está na forma como o SharePoint trata dados serializados dentro do endpoint ToolPane.aspx. Esse componente, projetado para a funcionalidade de gerenciamento de web parts do SharePoint, aceita objetos serializados sem validação adequada. Combinada com o bypass de autenticação da CVE-2025-53771, a superfície de ataque se expande para atacantes remotos não autenticados.
O bypass de autenticação explora uma falha de lógica na forma como o SharePoint processa o cabeçalho HTTP Referer. Ao definir esse cabeçalho como /_layouts/SignOut.aspx, os atacantes acionam um caminho de código destinado a operações de logout que inadvertidamente concede confiança à requisição. Isso representa uma fraqueza arquitetônica fundamental — as decisões de autenticação nunca devem depender de cabeçalhos fornecidos pelo cliente.
O que eleva essa vulnerabilidade de grave a catastrófica é o mecanismo de persistência pós-exploração. Os valores extraídos de MachineKey (ValidationKey e DecryptionKey) são chaves criptográficas simétricas usadas para proteger ViewState e tokens de autenticação. Com essas chaves, os atacantes podem forjar credenciais de autenticação válidas de forma independente, mantendo o acesso mesmo após a vulnerabilidade ser corrigida e o web shell removido.
Indicadores de Comprometimento
Endereços IP Maliciosos
107.191.58.76, 104.238.159.149, 96.9.125.147 — observados nas ondas iniciais de exploração. Bloqueie no perímetro e investigue as conexões históricas.
Artefato de Web Shell
spinstall0.aspx implantado no diretório \TEMPLATE\LAYOUTS\. SHA256: 92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514
Endpoint-Alvo
Requisições POST para /_layouts/15/ToolPane.aspx ou /_layouts/ToolPane.aspx com SignOut.aspx no cabeçalho Referer indicam tentativas de exploração.
String de User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0 — usada nos ataques observados, embora facilmente modificável.
Estratégias de Mitigação
Aplicar Imediatamente as Atualizações de Segurança
Instale sem demora KB5002768 (Subscription Edition), KB5002754 (2019) ou KB5002760 (2016). Esses patches tratam tanto da falha de desserialização quanto do bypass de autenticação.
Realizar Avaliação de Comprometimento
Procure por spinstall0.aspx ou outros arquivos ASPX anômalos no diretório LAYOUTS. Revise os logs do IIS em busca de requisições POST para ToolPane.aspx com cabeçalhos Referer suspeitos.
Rotacionar Chaves Criptográficas
Se houver suspeita ou confirmação de comprometimento, rotacione a configuração de MachineKey (ValidationKey e DecryptionKey). Sem esse passo, os atacantes mantêm a capacidade de forjar credenciais.
Habilitar Integração com AMSI
A Microsoft recomenda habilitar a integração com AMSI (Antimalware Scan Interface) no SharePoint para detectar payloads maliciosos durante a desserialização.
Implantar Proteção de Endpoint
Garanta que o Microsoft Defender ou um AV equivalente esteja implantado em todos os servidores SharePoint com proteção em tempo real habilitada. Há assinaturas de detecção para o spinstall0.aspx.
Implementar Proteção WAAP
Implante regras de Proteção de Aplicações Web e API (WAAP) para detectar e bloquear tentativas de exploração visando o ToolPane.aspx. Filtre requisições com cabeçalhos Referer suspeitos.
Restringir o Acesso Externo
Se o acesso externo ao SharePoint não for crítico para o negócio, restrinja os endpoints /_layouts/ apenas a redes internas usando regras de firewall ou configuração de reverse proxy.
A CVE-2025-53770 demonstra a compressão do ciclo de vida das vulnerabilidades. Do PoC público à exploração em massa em 72 horas não há espaço para ciclos tradicionais de aplicação de patches. As organizações precisam: (1) manter inteligência de vulnerabilidades em tempo real, (2) ter procedimentos pré-autorizados para aplicação emergencial de patches, (3) implantar controles compensatórios como WAAP enquanto aplicam os patches, e (4) presumir a violação e se preparar para uma avaliação de comprometimento. A natureza de bypass de patch dessa vulnerabilidade também destaca que os patches iniciais podem ser insuficientes — o monitoramento contínuo de novos CVEs que afetam o mesmo componente é essencial.
Como o TR7 Protege Contra a Exploração do SharePoint
Regras de Desserialização no WAAP
A Proteção de Aplicações Web e API (WAAP) do TR7 inclui regras para detectar e bloquear padrões de ataque por desserialização, incluindo os que visam endpoints do SharePoint.
Detecção de Manipulação de Cabeçalhos
A inspeção avançada de requisições identifica combinações suspeitas de cabeçalhos, incluindo a manipulação do cabeçalho Referer usada em ataques de bypass de autenticação.
Políticas de Controle de Acesso
Regras granulares de controle de acesso podem restringir o acesso a endpoints administrativos sensíveis, como /_layouts/, apenas a redes autorizadas.
Análise de Ameaças em Tempo Real
Monitoramento contínuo e alertas para tentativas de exploração. Identifique padrões de ataque e IOCs em toda a sua infraestrutura.
Logging Abrangente
O logging detalhado de requisições permite análise forense e avaliação de comprometimento. Correlacione tentativas de ataque com a inteligência de IOCs.
Resposta Automatizada a Ameaças
Bloqueio automatizado de IPs maliciosos conhecidos e padrões de ataque. Reduza o tempo de mitigação de horas para segundos.
Referências e Fontes
Análise técnica abrangente da exploração da CVE-2025-53770, incluindo IOCs, linha do tempo do ataque e orientações de detecção. https://www.rapid7.com/blog/post/etr-zero-day-exploitation-of-microsoft-sharepoint-servers-cve-2025-53770/
Orientação oficial da Microsoft para clientes sobre a CVE-2025-53770, incluindo informações de patch e mitigações recomendadas. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
Detalhes sobre as regras emergenciais de WAAP da Cloudflare e o volume de ataques observado (300 mil tentativas no pico). https://blog.cloudflare.com/cloudflare-protects-against-critical-sharepoint-vulnerability-cve-2025-53770/
Análise da equipe de segurança sobre a cadeia de exploração ToolShell e recomendações para equipes de segurança. https://blog.checkpoint.com/research/sharepoint-zero-day-cve-2025-53770-actively-exploited-what-security-teams-need-to-know/
Entrada oficial do National Vulnerability Database com pontuação CVSS e detalhes técnicos. https://nvd.nist.gov/vuln/detail/CVE-2025-53770
Perspectiva de segurança em nuvem sobre a CVE-2025-53770 e a CVE-2025-53771, incluindo estratégias de detecção. https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k
Proteja Sua Infraestrutura SharePoint
A CVE-2025-53770 demonstra que as janelas de exploração de zero-day estão se comprimindo para dias, e não semanas. A plataforma de segurança integrada do TR7 oferece defesa em profundidade contra ameaças emergentes que visam aplicações corporativas.
Explorar Proteção WAAP