
Foram relatadas duas vulnerabilidades sendo exploradas no SharePoint on-premise recentemente que permitiriam a atacantes executar código arbitrário em dispositivos vulneráveis (RCE). CVE-2025-49706 (CVSS: 6.3) e CVE-2025-49704 (CVSS: 8.8), uma cadeia intitulada “ToolShell”, têm sido exploradas em conjunto para tal finalidade, podendo atingir cerca de 8000 instâncias do SharePoint segundo pesquisadores, formando as vulnerabilidades CVE-2025-53770 (CVSS: 9.8) e CVE-2025-53771 (CVSS: 6.3).
Estas vulnerabilidades, quando combinadas, podem prover a um atacante acesso total ao SharePoint sem a necessidade de autenticação. É possível também o roubo de chaves criptográficas, o que permitiria a atacantes se passar por usuários ou serviços, invalidando, assim, qualquer aplicação de patch. Além disso, o SharePoint pode dar acesso a diversos outros serviços, como Teams, Outlook e OneDrive, o que poderia levar a vazamento de dados, roubo de credenciais e movimentação lateral.
Segundo o advisory publicado pela Microsoft, as recomendações para se proteger contra estas falhas são:
- • Isolar ou desativar o SharePoint. Bloqueio via firewall pode não ser efetivo dado que persistência pode já existir no ambiente;
- • Renovar todas as credenciais que possam ter sido exploradas;
- • Acionar o time de resposta a incidentes em caso de possível exploração. Atacantes podem persistir mesmo em caso de atualização ou reinício de sistema.
A Microsoft divulgou 2 atualizações que corrigem a vulnerabilidade CVE-2025-53770 para o Microsoft SharePoint Server Subscription Edition e para o Microsoft SharePoint Server 2019. Elas podem ser encontradas neste link, recomendamos atualizar imediatamente. Atualizações para o Microsoft SharePoint Server 2016 ainda não estão disponíveis.