Microsoft SharePoint: vazamento pode ter alimentado ataques zero-day

microsoft sharepoint: vazamento pode ter alimentado ataques zero day

Escrito por

em

Investigação aponta combinação de vazamento e exploração prática no SharePoint

Pesquisa sugere que um vazamento facilitou ataques ao Microsoft SharePoint, afetando servidores on‑premises

Pesquisadores de segurança acreditam que um vazamento de informações pode ter sido a peça que permitiu a exploração em massa das vulnerabilidades do Microsoft SharePoint, mesmo após a liberação de correções pela Microsoft. A cadeia de eventos começou com uma demonstração pública em maio, no concurso Pwn2Own, e terminou com ataques ativos em julho que comprometeram centenas de alvos.

Como a exploração aconteceu

No dia 15 de maio, durante o Pwn2Own em Berlim, o pesquisador Dinh Ho Anh Khoa demonstrou um exploit contra o SharePoint, combinando um bypass de autenticação com uma desserialização insegura, e recebeu US$ 100.000 pela descoberta. Em seguida, ele foi levado a uma sala privada para explicar a técnica à Microsoft e fornecer documentação detalhada, procedimento normal do evento.

Segundo a apuração, a Microsoft recebeu o exploit funcional no mesmo dia, e teve um período para preparar correções. Em 8 de julho a empresa divulgou as vulnerabilidades CVE-2025-49704, que permite execução remota de código sem autenticação, e CVE-2025-49706, um bug de spoofing, além de liberar atualizações. No entanto, a exploração em massa começou em 7 de julho, um dia antes dos patches.

Esse descompasso entre correção e ataque levou especialistas a concluir que informações sobre a técnica de exploração circularam antes do Patch Tuesday, permitindo que agentes maliciosos contornassem as correções iniciais.

O papel do Programa de Proteções Ativas da Microsoft, MAPP

Uma pista importante é o funcionamento do Programa de Proteções Ativas da Microsoft, conhecido como MAPP, que oferece acesso antecipado a alguns fornecedores de segurança, sob acordo de confidencialidade, duas semanas antes do Patch Tuesday. Dustin Childs, chefe de conscientização sobre ameaças na Zero Day Initiative da Trend Micro, afirmou categoricamente, “Aconteceu um vazamento em algum lugar aqui. E agora você tem um exploit zero-day em ação, e pior: um exploit zero-day que contorna o patch, que saiu no dia seguinte.”

Childs também comentou, “O que acontece no palco é apenas uma parte do Pwn2Own”, explicando o fluxo padrão de reporte e correção. Ele pontuou que “Sessenta dias para corrigir não é um prazo tão ruim para um bug mantido em sigilo e sujeito a regras de divulgação coordenada”, e que o problema real teria sido o vazamento prévio das informações.

A ZDI e outros fornecedores identificaram que a correção inicial da Microsoft para o bypass de autenticação era muito restrita e podia ser facilmente burlada, o que indica que qualquer interessado com acesso prévio ao material do MAPP poderia encontrar formas de contornar a proteção.

Impacto, hipóteses e orientações

Relatos indicam que mais de 400 organizações já haviam sido comprometidas por pelo menos duas equipes patrocinadas pelo Estado chinês, Linen Typhoon e Violet Typhoon, além do grupo Storm-2603, que usou as brechas para implantar ransomware. A Eye Security alertou sobre a exploração em larga escala em 18 de julho, e a Microsoft avisou em 19 de julho sobre um zero-day sendo explorado, indicando que as correções iniciais não resolveram todas as falhas. Em 21 de julho a empresa lançou atualizações para três versões on‑premises afetadas.

Nem todos concordam que o vazamento seja a única explicação. Satnam Narang, da Tenable Research, citou o trabalho de Soroush Dalili que utilizou o Gemini do Google para ajudar a reproduzir a cadeia de exploit, e observou, “É difícil determinar qual peça precisou cair para que esses atores pudessem explorar as vulnerabilidades na prática”. Isso sugere que agentes maliciosos podem ter conseguido seus próprios caminhos de investigação, incluindo o uso de modelos de linguagem avançados.

Ainda há dúvidas sobre o futuro do MAPP no repasse de informações, já que a Microsoft não divulgou orientações via MAPP para duas vulnerabilidades posteriores, CVE-2025-53770 e CVE-2025-53771, relacionadas às anteriores. Sobre isso, Childs comentou, “Se eu suspeitasse que um vazamento se originou desse canal, certamente não compartilharia informações com ele”, destacando o dilema entre acelerar defesas e manter sigilo.

Para empresas que usam Microsoft SharePoint on‑premises, o cenário reforça a necessidade de aplicar patches completos, revisar logs e segmentar redes, além de considerar medidas de mitigação imediatas quando surgem avisos de exploração ativa. A combinação entre divulgação coordenada, revisão das correções e controle estrito sobre canais privilegiados de informação será crucial para reduzir riscos semelhantes no futuro.

Em síntese, a investigação aponta que um vazamento, aliado a correções incompletas e à rapidez dos atacantes, foi determinante para a escalada do incidente envolvendo o Microsoft SharePoint, deixando lições importantes para fornecedores e clientes sobre gestão de vulnerabilidades e compartilhamento de informação.

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *