Empresas que mantêm servidores locais do Microsoft SharePoint receberam um alerta de segurança após a descoberta de uma vulnerabilidade de dia zero classificada como CVE-2025-53770. O problema, divulgado na sexta-feira, 18 de julho, foi utilizado por invasores para acessar remotamente sistemas corporativos sem qualquer processo de autenticação. A pontuação de 9,8 em uma escala de 1 a 10 indica que se trata de uma falha de gravidade máxima.
O SharePoint atua como repositório e ponto de colaboração para documentos e outros dados internos. Por ser frequentemente integrado a serviços como Microsoft Outlook e Teams, um comprometimento na plataforma pode abrir portas para a exfiltração de informações sigilosas e para a movimentação lateral em toda a infraestrutura de TI da organização.
Primeiros registros de ataque
A empresa de segurança Eye Security foi a primeira a identificar o uso ativo da vulnerabilidade. Segundo relatório repassado ao portal BleepingComputer, ao menos 54 organizações sofreram tentativas — ou confirmações — de invasão desde a data da detecção. Como se trata de um zero-day, os ataques antecederam qualquer correção oficial da Microsoft, o que amplia o risco de mais empresas terem sido atingidas sem perceber.
A brecha permite que agentes externos enviem solicitações especialmente construídas para os servidores SharePoint vulneráveis, obtendo controle remoto sem a necessidade de credenciais. Uma vez no ambiente, é possível coletar documentos, alterar permissões ou implantar códigos maliciosos destinados à persistência ou à expansão do ataque.
Resposta da Microsoft
Na tarde de sábado, após a divulgação pública do problema, a Microsoft confirmou a existência da falha e anunciou que preparava atualizações emergenciais. As correções foram disponibilizadas no domingo seguinte e abrangem três edições locais da plataforma: SharePoint Subscription Edition, SharePoint Server 2019 e SharePoint Server 2016. Um segundo pacote de atualização foi liberado também para mitigar uma brecha relacionada, catalogada como CVE-2025-53771.
Já o SharePoint Online, incluído nas assinaturas do Microsoft 365, não foi listado como vulnerável. A empresa explicou que o risco está restrito a instalações gerenciadas internamente por cada organização, onde administradores mantêm controle sobre a aplicação de patches e a configuração dos servidores.
Próximos passos para as empresas
Especialistas em segurança ressaltam que aplicar as correções fornecidas pela Microsoft é apenas o primeiro passo. Como a exploração já estava em andamento antes da divulgação oficial, recomenda-se verificar cuidadosamente se houve acessos não autorizados anteriores ao patch. Caso a invasão seja confirmada, procedimentos adicionais devem ser adotados, incluindo a troca de chaves de acesso, revisão de permissões e varreduras completas em busca de malwares instalados pelos atacantes.
Outro ponto crítico envolve sistemas integrados ao SharePoint. Se os invasores capturaram dados de credenciais ou implantaram scripts de automação, outros ambientes interligados podem ter sido comprometidos. Por isso, equipes de TI são orientadas a auditar logs, checar atividades suspeitas em serviços de e-mail e colaboração e monitorar trafego de rede para impedir que o incidente se propague.
Importância da atualização rápida
A pontuação de 9,8 atribuída à CVE-2025-53770 segue a métrica CVSS (Common Vulnerability Scoring System) e sinaliza que a falha demanda atenção imediata. Vulnerabilidades classificadas dessa forma geralmente combinam facilidade de exploração com impacto elevado, já que permitem execução de código ou acesso irrestrito aos dados. Na prática, adiar a instalação dos patches amplia a janela de oportunidade para ataques voltados a roubo de propriedade intelectual, fraudes ou sequestro de informações.
Organizações sujeitas a requisitos de conformidade, como normas de proteção de dados e auditorias externas, devem documentar os passos tomados para mitigar o problema. Relatórios de atualização, logs de correção e evidências de varredura são úteis para comprovar que medidas corretivas foram implementadas dentro dos prazos recomendados.
Recomendações gerais
Além da aplicação das atualizações lançadas no domingo, analistas de segurança indicam boas práticas complementares: manter políticas de backup com restauração testada, segmentar redes para limitar o alcance de invasores, ativar registro detalhado de eventos e revisar rotinas de acesso administrativo. A combinação desses procedimentos reduz o impacto potencial de falhas futuras e acelera a recuperação em caso de incidentes semelhantes.
Embora o número de empresas afetadas confirmado até agora seja 54, a extensão real do problema pode ser maior, já que nem todas as organizações contam com mecanismos de detecção suficientes para identificar a exploração da CVE-2025-53770 em tempo hábil. Diante desse cenário, a recomendação unânime entre especialistas é aplicar as correções sem atraso e conduzir investigações internas proativas, mesmo que não haja indícios imediatos de comprometimento.
Com a rápida distribuição do patch pela Microsoft e a orientação de provedores de segurança, a expectativa é conter a exploração da falha nas próximas semanas. Ainda assim, o incidente reforça a importância da atualização constante de sistemas locais e da adoção de camadas adicionais de proteção em ambientes corporativos.
