Uma semana após a Microsoft informar que suas atualizações de software de julho não corrigiram completamente algumas vulnerabilidades, permitindo que cybercriminosos assumissem servidores SharePoint on-premises e executassem código remotamente, os pesquisadores reuniram grande parte do quebra-cabeça - com um único pedaço faltando.
Como os atacantes, que incluem espionagem estatal chinesa, ladrões de dados e operadores de ransomware, sabiam como explorar as vulnerabilidades do SharePoint (CVEs) de forma que bypassasse as correções de segurança lançadas pelo dia seguinte? "Uma fuga ocorreu aqui", disse Dustin Childs, chefe de conscientização sobre ameaças na Zero Day Initiative (ZDI) da Trend Micro. "E agora você tem uma exploração zero-day em circulação - e pior do que isso, você tem uma exploração zero-day em circulação que contorna a correção lançada no dia seguinte."
Isso tudo começou em maio, durante a competição Pwn2Own. O evento é o equivalente hackerístico da World Series, e a ZDI geralmente hospeda essas competições duas vezes ao ano. A mais recente ocorreu em Berlim, começando no dia 15 de maio. No segundo dia do evento, o pesquisador vietnamita Dinh Ho Anh Khoa combinou um bypass de autenticação e uma falha de deserialização insegura para explorar o SharePoint da Microsoft e ganhar US$100.000.
'O que acontece no palco é apenas uma parte do Pwn2Own', disse Childs. 'Depois de demonstrar uma exploração bem-sucedida, o caçador de bugs e a empresa são levados para um quarto privado onde o pesquisador explica o que fez e fornece à empresa uma descrição completa da exploração.'
Menos de dois meses depois, em 8 de julho, a Microsoft divulgou as duas vulnerabilidades - CVE-2025-49704, que permite execução remota de código não autenticado, e CVE-2025-49706, uma falha de engano - e lançou atualizações de software destinadas a corrigir os defeitos. Mas a exploração massiva já havia começado no dia anterior, em 7 de julho.
'Uma timeline de 60 dias para corrigir realmente não é um cronograma ruim para uma vulnerabilidade que permanece privada e dentro dos padrões de divulgação coordenada', disse Childs. 'O que é ruim: aconteceu uma fuga.'
Uma semana após alerta de vulnerabilidades no SharePoint, ataques continuam a ameaçar servidores
É impressionante como, mesmo com todo o aparato da Microsoft para corrigir vulnerabilidades, a humanidade parece sempre encontrar um jeitinho de botar defeitos no sistema - ou, nesse caso, em sistemas de proteção. A ironia reside em que as mesmas empresas que prometem segurança são frequentemente as responsáveis por criar as brechas que os próprios inimigos exploram.
Ver mais postagens do autor →
