A CISA – Americas Cyber Defense Agency norte-americana divulgou um alerta de exploração ativa de uma nova vulnerabilidade de execução remota de código (RCE), que permite acesso não autorizado a servidores MS-SharePoint locais. Embora o escopo e o impacto ainda estejam sendo avaliados, a nova Vulnerabilidade e Exposições Comuns (CVE), CVE-2025-53770 , é uma variante da vulnerabilidade existente CVE-2025-49706 e representa um risco para as organizações. Essa atividade de exploração, relatada publicamente como “ToolShell”, fornece acesso não autenticado a sistemas e permite que agentes mal-intencionados acessem totalmente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas, e executem código pela rede.
A CISA recomenda as seguintes ações para reduzir os riscos associados ao comprometimento do RCE:
- Configure a Antimalware Scan Interface (AMSI) no SharePoint e implante o Microsoft Defender AV em todos os servidores do SharePoint.
- Se o AMSI não puder ser habilitado, desconecte os produtos afetados do serviço público na internet até que as medidas de mitigação oficiais estejam disponíveis. Assim que as medidas de mitigação forem fornecidas, aplique-as de acordo com as instruções do CISA e do fornecedor.
- Siga as orientações aplicáveis do BOD 22-01 para serviços em nuvem ou interrompa o uso do produto se não houver medidas de mitigação disponíveis.
- Para obter informações sobre detecção, prevenção e medidas avançadas de busca por ameaças, consulte o Guia do Cliente da Microsoft para Vulnerabilidade do SharePoint e o aviso sobre CVE-2025-49706. A CISA recomenda que as organizações revisem todos os artigos e atualizações de segurança publicados pela Microsoft em 8 de julho de 2025, relevantes para a plataforma SharePoint implantada em seu ambiente.
- Monitorar POSTs para /_layouts/15/ToolPane.aspx?DisplayMode=Edit
- Realizar varredura de IPs 107.191.58[.]76, 104.238.159[.]149, e 96.9.125[.]147, principalmente entre 18 e 19 de julho de 2025.
- Atualize o sistema de prevenção de intrusões e as regras de firewall de aplicativos web para bloquear padrões de exploração e comportamentos anômalos. Para mais informações, consulte o Guia da CISA sobre Implementação de SIEM e SOAR .
- Implemente um registro abrangente para identificar atividades de exploração. Para mais informações, consulte as Melhores Práticas para Registro de Eventos e Detecção de Ameaças da CISA .
- Audite e minimize os privilégios de layout e administrador.
Para obter mais informações sobre essa vulnerabilidade, consulte o relatório da Eye Security e a publicação da Palo Alto Networks Unit42 . O CVE-2025-53770 foi adicionado ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV ) da CISA em 20 de julho de 2025.
As organizações devem relatar incidentes e atividades anômalas ao Centro de Operações a qualquer horá para a CISA em [email protected]
Observação: a CISA pode atualizar este Alerta para refletir novas orientações da CISA ou de outras partes.
Fonte: TI INSIDE Online - Leia mais
