- Um bug de código remoto no SharePoint permite que os hackers sequestam sistemas sem fazer login
- Storm-2603 está explorando servidores não patches usando bugs encadeados para obter acesso a longo prazo sem detectar
- Toolshell obteve um 10 Perfect na escala de risco de Bitsight, desencadeando uma preocupação federal imediata
Uma falha crítica nos servidores locais do Microsoft SharePoint se transformou em uma crise de segurança cibernética mais ampla, à medida que os atacantes passam da espionagem para a extorsão.
A campanha, inicialmente atribuída a uma vulnerabilidade que permitiu acesso furtivo, agora está distribuindo ransomware, um desenvolvimento que adiciona uma camada alarmante de interrupção ao que foi anteriormente entendido como uma intrusão focada em dados.
A Microsoft vinculou esse pivô a um ator de ameaças que se refere como “Storm-2603”, e as vítimas cujos sistemas foram trancados devem pagar um resgate, normalmente em criptomoeda.
Do acesso silencioso à extorsão completa
No coração do compromisso estão duas vulnerabilidades graves, que são CVE-2025-53770, apelidadas de “casca de ferramenta” e sua variante CVE-2025-53771.
Essas falhas permitem a execução de código remoto não autenticado, dando aos atacantes controle sobre sistemas não patches simplesmente enviando uma solicitação criada.
A ausência de requisitos de login torna essas façanhas particularmente perigosas para organizações que atrasaram a aplicação de atualizações de segurança.
Especialistas de Bitsight A reivindicação CVE-2025-53770 obtém o máximo de 10 em sua escala dinâmica de exploração de vulnerabilidades (DVE), destacando a urgência da remediação.
As empresas de segurança observaram um aumento acentuado nos ataques. A segurança ocular, que primeiro relatou sinais de compromisso, estimou 400 vítimas confirmadas, contra 100 no fim de semana, e alertou que o número real provavelmente é muito maior.
“Há muito mais, porque nem todos os vetores de ataque deixaram artefatos para os quais poderíamos procurar”, disse Vaishaisha Bernard, chefe de segurança dos olhos.
As agências governamentais dos EUA, incluindo o NIH e supostamente o Departamento de Segurança Interna (DHS), também foram afetadas.
Em resposta, a CISA, o braço cibernético da DHS, adicionou CVE-2025-53770 à sua lista de vulnerabilidades exploradas conhecida, exigindo ações imediatas entre os sistemas federais assim que os patches são divulgados.
Diz -se que uma tensão na circulação é o ransomware “warlock”, distribuído livremente em ambientes comprometidos.
O padrão de façanhas encadeadas, combinando os CVEs mais recentes com os mais antigos, como CVE-2025-49704, aponta para uma questão estrutural mais profunda na segurança das instâncias do SharePoint no local.
Os invasores teriam conseguido ignorar a autenticação de vários fatores, roubar chaves da máquina e manter o acesso persistente nas redes afetadas.
Enquanto o SharePoint on -line no Microsoft 365 permanece inalterado, o impacto nas implantações tradicionais do servidor foi generalizado.
Os pesquisadores estimam que mais de 75 a 85 servidores já foram comprometidos, com setores afetados abrangendo governo, finanças, saúde, educação, telecomunicações e energia.
Globalmente, até 9.000 serviços expostos permanecem em risco se deixados não atingidos.
As organizações são fortemente instadas a instalar as atualizações mais recentes, KB5002768 para a edição de assinatura, KB5002754 para o SharePoint 2019 e KB5002760 para o SharePoint 2016.
A Microsoft também recomenda os valores rotativos da MachineKey Pós-patching e ativar a integração AMSI (Interface de varredura antimalware) com o zagueiro antivírus.
Orientação adicional inclui a digitalização para sinais de compromisso, como a presença de spinstall0.aspx web conchas e monitoramento de logs para movimento lateral incomum.
Além disso, algumas organizações estão agora explorando os modelos de ZTNA e VPN de negócios para isolar sistemas críticos e acessar o segmento.
No entanto, essas medidas são eficazes se combinadas com forte proteção de terminais e gerenciamento oportuno de patches.
Via Reuters
Fique conectado