Invasão ao SharePoint: hackers chineses exploraram falha em servidores da Microsoft

A invasão de larga escala contra a plataforma corporativa SharePoint ocorrida nos últimos dias teve envolvimento ao menos parcial de hackers de origem chinesa. A informação vem de investigações preliminares sobre a falha de segurança envolvendo o serviço da Microsoft.

De acordo com a Mandiant Consulting, uma empresa de cibersegurança controlada pelo Google, "ao menos um dos atores responsáveis pela exploração inicial" da vulnerabilidade tem conexão com o governo da China. Até agora, o governo do país asiático não se manifestou sobre a acusação.

• Leia também: Microsoft deixará de contratar chineses para auxiliar Departamento de Defesa dos EUA

Outros pesquisadores consultados pelo jornal The Washington Post, inclusive alguns ligados ao governo dos Estados Unidos, confirmaram a presença de "endereços de acesso originados na China" em servidores nacionais afetados pela vulnerabilidade. Há dois anos, a Microsoft já havia denunciado um grupo chinês chamado Volt Typhoon por “atividades maliciosas furtivas e direcionadas” contra organizações de estruturas críticas do governo dos EUA.

Porém, até agora não se sabe se a exploração foi descoberta e apenas utilizada por esses invasores ou se eles apenas se aproveitaram da falha a partir do ataque de outras fontes. Além disso, nenhum grupo reivindicou a autoria do ataque ou iniciou a comercialização de dados supostamente roubados, como costuma acontecer em invasões como essa.

Caso tenham mesmo explorado a falha, os invasores podem ter conseguido acesso não autorizado a servidores inteiros com comunicações, configurações e documentos sigilosos, além de instalar malwares que podem permitir também a execução remota de códigos na rede.

Qual foi a brecha de segurança no SharePoint?

• No último sábado (19), a Microsoft começou a notificar clientes sobre um incidente de cibersegurança envolvendo o SharePoint, plataforma colaborativa de gerenciamento de documentos da empresa;
• Uma vulnerabilidade de "dia zero" estava sob exploração de agentes mal intencionados, capazes de roubar chave de acesso e conseguir entrar nos servidores para roubar arquivos, acessar outras informações internas e se espalhar por uma rede. Até o momento, a companhia não detalhou o que ocasionou a falha;
• A ameaça foi batizada de ToolShell e é catalogada como a vulnerabilidade CVE-2025-53770. Ela é uma variante de uma brecha parecida e que já era de conhecimento da empresa, a CVE-2025-49706;
• De acordo com a Mandiant, ao menos 54 organizações confirmaram um acesso não autorizado via SharePoint, incluindo multinacionais e entidades governamentais de vários países;

Microsoft correu para lançar correção

Já no domingo (20), a empresa começou a liberar atualizações de segurança para corrigir a falha no SharePoint Server Subscription Edition, posteriorente lançando também patches nas edições 2019 e 2016 do serviço. Os invasores atacaram especificamente o SharePoint de uso corporativo e governamental, sem afetar os clientes domésticos que usam o serviço via Microsoft 365.

Para além da atualização em caráter de urgência, a companhia recomenda que equipes internas de organizações possivelmente afetadas façam uma varredura em busca de eventuais explorações da vulnerabilidade, além de resetar as chaves de acesso à plataforma. Isso garante que invasores que tenham conquistado o acesso a esses servidores percam os privilégios e não consigam mais interceptar as comunicações.

• Saiba mais: 50 anos de Microsoft: relembre os 9 produtos e serviços mais memoráveis da empresa

Quer continuar informado sobre novidades e ameaças no campo da segurança digital e proteção de dados? Confira a seção especial no site do TecMundo sobre o tema!