A Microsoft emitiu patches de segurança urgentes para duas vulnerabilidades de dia zero, CVE-2025-53770 e CVE-2025-53771, afetando o Microsoft SharePoint. Essas falhas foram ativamente exploradas em ataques de “conchas de ferramentas” em todo o mundo, impactando mais de 54 organizações.
As vulnerabilidades surgiram depois que os atores de ameaças ignoraram as correções divulgadas nas atualizações do patch de julho na terça -feira. Essas atualizações iniciais destinavam-se a abordar uma cadeia de vulnerabilidades zero de “casca de ferramenta” que permitia a execução do código remoto no Microsoft SharePoint, demonstrado pela primeira vez no concurso PWN2OOW em Berlim em maio.
A Microsoft lançou rapidamente atualizações de segurança fora da banda para a Microsoft SharePoint Subscription Edition e o SharePoint 2019 para mitigar CVE-2025-53770 e CVE-2025-53771. A empresa confirmou que essas novas atualizações oferecem “proteções mais robustas” em comparação com as correções anteriores para CVE-2025-49704 e CVE-2025-49706, respectivamente. Uma atualização para o Microsoft SharePoint Enterprise Server 2016 ainda está pendente.
Os administradores do SharePoint são fortemente aconselhados a instalar essas atualizações críticas imediatamente: KB5002754 para o Microsoft SharePoint Server 2019 e KB5002768 para a edição de assinatura do Microsoft SharePoint.
Além de aplicar os patches, a Microsoft exorta os administradores a girar suas teclas da máquina do SharePoint. Isso pode ser feito manualmente via PowerShell usando o Update-SPMachineKey CMDLET ou através do administrador central, acionando o trabalho do timer “Jó do trabalho de rotação da chave da máquina”. Após a rotação, uma redefinição do IIS (iisreset.exe) em todos os servidores do SharePoint é recomendado.
Os administradores também devem realizar uma análise completa de seus logs e sistemas de arquivos para sinais de comprometimento ou exploração de tentativas de exploração. Os principais indicadores incluem a criação do arquivo C:PROGRA~1COMMON~1MICROS~1WEBSER~116TEMPLATELAYOUTSspinstall0.aspxe os logs do IIS mostrando uma solicitação de postagem para _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx com um referente HTTP de _layouts/SignOut.aspx.
A Microsoft forneceu uma consulta do Microsoft 365 Defender para ajudar a detectar a presença do spinstall0.aspx arquivo:
DeviceFileEvents
| where FolderPath has "MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Se esse arquivo for encontrado, uma investigação abrangente do servidor e da rede afetada é crucial para garantir que os atores de ameaças não tenham expandido seu acesso a outros dispositivos.
