Hackers exploram falha no SharePoint para invadir sistemas governamentais
Cibercriminosos exploraram uma vulnerabilidade de segurança no ToolShell do Microsoft Sharepoint para invadir diversas instituições governamentais em vários continentes, mesmo após a falha ter sido corrigida em um patch de julho deste ano. O problema em questão é o CVE-2025-53770, que permitia burlar a autenticação e executar códigos remotamente.
Várias agências foram alvo, de uma companhia de telecomunicações no Oriente Médio a departamentos governamentais na África, agências estatais na América do Sul e uma universidade nos Estados Unidos, nenhum deles especificado pelos responsáveis por estudar o caso: a Equipe de Caça a Ameaças Symantec, da companhia Broadcom.
Vulnerabilidades no Sharepoint
A vulnerabilidade CVE-2025-53770 foi, segundo análises, explorada em conjunto com duas outras falhas anteriores, CVE-2025-49704 e CVE-2025-49706. Três grupos hackers chineses foram vistos abusando desses problemas para criar malwares zero-day: Linen Typhoon (conhecidos pelo malware Budworm), Violet Typhoon (Sheathminer) e Storm-2603, este último ligado ao espalhamentos dos ransomwares Warlock, Lockbit e Babuk recentemente.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
A Symantec descobriu, ainda, que muitos outros grupos de cibercriminosos se aproveitaram da vulnerabilidade, como o Salt Typhoon (Glowworm), que usou o ToolShell para distribuir ferramentas maliciosas como Zingdoor, ShadowPad e KrustyLoader a dois governos de países africanos.
O KrustyLoader, em particular, é um vírus baseado em Rust usado pelo grupo chinês UNC5221 em ataques ao SAP NetWeaver e Ivanti Endpoint Manager Mobile.
Já os incidentes na América do Sul e Estados Unidos envolveram a exploração de vulnerabilidades não especificadas para invadir o SharePoint, aproveitando, em seguida, o acesso de servidores SQL e Apache HTTP rodando o software Adobe ColdFusion. Dessa forma, malwares foram entregues através de técnicas de evasão de DLL.
A vulnerabilidade CVE-2021-36942 (ou PetitPotem) também foi explorada para escalada de privilégios e comprometimento de domínios, junto a ferramentas living-off-the-land para facilitar o escaneamento, download de arquivos e roubo de credenciais nos sistemas infectados.
As vítimas possuem alguns aspectos em comum nos ataques, com características relacionadas ao Glowworm, mas ainda não é possível cravar um grupo culpado específico. Segundo os especialistas, os hackers estavam interessados em roubar credenciais e garantir acesso persistente e furtivo no sistema das vítimas, provavelmente para fins de espionagem.
Confira também:
- O que é phishing e como se proteger?
- Ataque hacker mira hotéis no Brasil para roubar dados de cartões de hóspedes
- Ataque hacker vaza exames e fotos de pacientes de clínicas no Brasil
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]
Leia a matéria no Canaltech.
O que achou dessa notícia? Deixe um comentário abaixo e/ou compartilhe em suas redes sociais. Assim conseguiremos informar mais pessoas sobre as curiosidades do mundo!
Esta notícia foi originalmente publicada em:
Fonte original
