Sharepoint

Mais de 1.300 servidores Microsoft SharePoint estão expostos na internet e ainda não foram corrigidos contra uma vulnerabilidade de spoofing, identificada como CVE-2026-32201. Essa falha afeta as versões SharePoint Enterprise Server 2016, SharePoint Server 2019 e a Subscription Edition. A Microsoft, ao lançar um patch em abril de 2026, destacou que a exploração bem-sucedida da vulnerabilidade permite que atacantes sem privilégios realizem spoofing de rede, aproveitando uma fraqueza na validação de entrada. Embora a Microsoft tenha classificado a vulnerabilidade como um zero-day, ainda não foram divulgadas informações sobre como foi explorada em ataques ou se há ligação com grupos de hackers específicos. A Shadowserver alertou que menos de 200 dos servidores vulneráveis foram corrigidos desde o lançamento do patch. A CISA, agência de cibersegurança dos EUA, incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas e ordenou que agências federais aplicassem os patches em um prazo de duas semanas, destacando os riscos significativos que essa vulnerabilidade representa para a segurança federal. Além disso, a CISA também alertou sobre outra vulnerabilidade no Windows Task Host que permite a elevação de privilégios, exigindo atenção imediata das agências.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências governamentais apliquem patches em duas vulnerabilidades críticas que estão sendo ativamente exploradas. A primeira, CVE-2025-66376, é uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que permite que atacantes abusem de diretrizes CSS em mensagens de e-mail HTML. A segunda, CVE-2026-20963, é uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft Office SharePoint, permitindo que um invasor execute código remotamente. Ambas as falhas foram corrigidas em versões recentes dos softwares. O alerta da CISA é especialmente relevante após a descoberta de uma campanha de ataque, denominada Operação GhostMail, que utiliza a vulnerabilidade do Zimbra para roubar credenciais e dados sensíveis de usuários. Os atacantes, supostamente patrocinados pelo Estado russo, têm se concentrado em organizações ucranianas, mas a exploração dessas vulnerabilidades pode afetar usuários em todo o mundo, incluindo o Brasil. A CISA recomenda que as agências federais apliquem os patches até datas específicas para mitigar os riscos associados.

Cibercriminosos têm explorado uma vulnerabilidade no ToolShell do Microsoft SharePoint, identificada como CVE-2025-53770, para invadir instituições governamentais em diversos continentes. Apesar de um patch ter sido lançado em julho de 2025 para corrigir a falha, ataques foram registrados em agências de telecomunicações no Oriente Médio, departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos. A vulnerabilidade permitia burlar a autenticação e executar códigos remotamente, sendo utilizada em conjunto com outras falhas, como CVE-2025-49704 e CVE-2025-49706, por grupos hackers chineses. Esses grupos, como Linen Typhoon e Violet Typhoon, têm utilizado malwares zero-day para realizar suas invasões. Além disso, técnicas de evasão de DLL foram empregadas para entregar malwares em servidores SQL e Apache HTTP. Os ataques visam roubar credenciais e garantir acesso persistente aos sistemas das vítimas, sugerindo um interesse em espionagem. A situação destaca a necessidade de vigilância contínua e atualização de sistemas para mitigar riscos de segurança.

Uma nova pesquisa da Entro Labs revelou uma vulnerabilidade crítica na funcionalidade de auto-sincronização do OneDrive da Microsoft, que está expondo segredos empresariais em larga escala. O estudo indica que um em cada cinco segredos expostos em ambientes corporativos provém do SharePoint, não por meio de ataques sofisticados, mas devido a uma configuração padrão do OneDrive que move automaticamente arquivos locais contendo credenciais sensíveis para repositórios na nuvem. A falha de segurança está relacionada ao recurso Known Folder Move (KFM), que sincroniza pastas críticas do usuário, como Desktop e Documentos, para o OneDrive. Isso resulta em uma exposição inadvertida de arquivos que deveriam ser mantidos localmente, tornando-os acessíveis a administradores e contas potencialmente comprometidas. A pesquisa também destaca que a maioria dos arquivos expostos são planilhas, representando mais de 50% dos segredos, seguidas por arquivos de texto e scripts. A situação é agravada pela ativação padrão do OneDrive em sistemas Windows 10/11, que pode levar usuários a fazer backup de arquivos sensíveis sem perceber. Para mitigar esses riscos, as equipes de segurança devem aumentar a conscientização sobre o comportamento de auto-sincronização e considerar desativar o KFM onde não for necessário.

A Microsoft enfrenta crescente escrutínio após a revelação de que a empresa utilizou engenheiros baseados na China para corrigir falhas no SharePoint, um produto que foi alvo de hackers apoiados pelo Estado. O ataque cibernético afetou centenas de empresas e agências governamentais dos EUA, incluindo o Departamento de Segurança Interna (DHS) e a Administração Nacional de Segurança Nuclear (NNSA). As vulnerabilidades permitiram que os invasores acessassem completamente o conteúdo do SharePoint, executando código remotamente e implantando ransomware. Embora a Microsoft tenha emitido um patch rapidamente, ele foi insuficiente para conter os ataques. A empresa confirmou a participação de uma equipe de engenharia da China, mas afirmou que o trabalho era supervisionado por engenheiros dos EUA. Especialistas em cibersegurança expressaram preocupações sobre as leis chinesas que permitem que agências estatais exijam cooperação de empresas privadas, levantando temores sobre a coleta de inteligência. Em resposta à pressão, a Microsoft anunciou que encerrará o uso de engenheiros da China em projetos do Pentágono e está avaliando sua presença em outros projetos governamentais. A empresa também planeja descontinuar o suporte para o SharePoint On-Premises em julho de 2026, incentivando a migração para seu serviço em nuvem, Azure.

A Microsoft decidiu restringir o acesso de algumas empresas chinesas ao seu sistema de alerta antecipado sobre vulnerabilidades cibernéticas, conhecido como MAPP (Microsoft Active Protections Program). Essa decisão foi tomada após uma série de ataques que exploraram falhas na plataforma SharePoint da empresa, afetando até 400 organizações. Suspeitas de envolvimento do governo chinês nos ataques levaram a Microsoft a acreditar que houve um vazamento de informações dentro do programa MAPP, que é utilizado para alertar empresas de segurança sobre ameaças e permitir que elas se preparem para possíveis ataques. As vulnerabilidades já foram corrigidas, mas foram utilizadas anteriormente para implantar ransomware, permitindo que atacantes extraíssem chaves criptográficas de servidores da Microsoft. A empresa confirmou que não enviará mais códigos de prova de conceito para empresas chinesas, uma medida que visa evitar que informações sobre as defesas dos sistemas sejam usadas por atacantes. A Microsoft continua a revisar os participantes do MAPP e pode suspender ou remover aqueles que violarem os termos do contrato, que proíbe a participação em ataques ofensivos.