Desde pelo menos 18 de julho de 2025, pesquisadores da Eye Security identificaram exploração ativa de uma vulnerabilidade zero‑day em servidores SharePoint on‑premises da Microsoft, designada CVE‑2025‑53770, que afeta versões como SharePoint Server 2019, SharePoint Enterprise Server 2016 e Subscription Edition. Essa falha surgiu como uma variante de uma vulnerabilidade anterior (CVE‑2025‑49706), combinada a uma falha de injeção de código (CVE‑2025‑49704) demonstrada no concurso Pwn2Own em maio, base do exploit apelidado de “ToolShell”.
A Microsoft confirmou que os ataques estão em curso e atingem servidores locais (não nuvem): SharePoint Online no Microsoft 365 está fora de perigo, o problema alcança apenas instalações em máquinas locais expostas à internet. O exploit permite execução remota de código sem autenticação, extrai secretamente chaves criptográficas como ValidationKey e DecryptionKey via um arquivo chamado spinstall0.aspx, e essas chaves possibilitam aos atacantes se passarem por usuários ou serviços mesmo após o reboot ou aplicação de patch.
Estima‑se que milhares de servidores SharePoint estejam potencialmente vulneráveis em todo o mundo. Ataques confirmados já atingiram ao menos 75 servidores, incluindo agências federais e estaduais dos EUA, universidades, empresas de energia e até operadoras de telecom asiáticas.
No que diz respeito ao Brasil, ainda não foram divulgados incidentes públicos envolvendo órgãos brasileiros. Porém, empresas e instituições que utilizam SharePoint on‑premises e o deixaram exposto à internet estão em risco direto — sobretudo órgãos públicos, universidades e setores críticos com servidores SharePoint 2016 ou 2019 sem mitigação aprovada.
Diversas agências de segurança internacionais, como CISA (EUA), centro de segurança canadense (Cyber Centre) e Microsoft Security Response Center (MSRC), liberaram orientações desde 19 a 20 de julho de 2025, recomendando ações imediatas: habilitar AMSI (Antimalware Scan Interface) nos servidores SharePoint e instalar o Microsoft Defender Antivirus, além de utilizar Defender for Endpoint para detecção de atividade pós‑exploração. Se não for possível ativar o AMSI, a recomendação é desconectar o servidor da internet até a liberação de um patch.
A Microsoft já lançou patches para SharePoint 2019 e Subscription Edition, mas o patch para SharePoint 2016 ainda está em desenvolvimento. E, crucialmente, corrigir a vulnerabilidade não elimina os danos a servidores já comprometidos — é preciso rotacionar ou substituir por completo todas as chaves e segredos expostos para impedir que o atacante continue atuando mesmo após a correção.
Os efeitos para usuários e organizações são graves: os atacantes podem acessar dados sensíveis, roubar credenciais, movimentar‑se lateralmente pela rede corporativa e comprometer serviços integrados como Outlook, Teams e OneDrive. Quanto mais conectado o servidor estiver – especialmente em domínios Microsoft integrados – maior o risco de escalonamento do ataque e roubo de informações estratégicas ou confidenciais.
Receberam alertas também o FBI e a Cybersecurity and Infrastructure Security Agency (CISA) dos EUA, que estão investigando o incidente junto com a Microsoft. O FBI já emitiu emissão oficial avisando sobre o risco crescente e colaborando na resposta.
Para que você compreenda o cenário com credibilidade jornalística: trata‑se de um ataque em andamento contra servidores SharePoint locais, vigente desde pelo menos 18 de julho de 2025, explorando CVE‑2025‑53770, sem atuação sobre ambientes Microsoft 365 em nuvem. A ameaça impacta grandes organizações globais e coloca em risco qualquer instituição brasileira com servidor SharePoint conectado diretamente à internet e sem as devidas proteções; mitigação exige ação imediata como patch, ativação do AMSI, detecção contínua e eventual isolamento de sistemas acometidos.