Pesquisadores consultados pelo jornal The Washington Post, incluindo especialistas ligados ao governo dos Estados Unidos, confirmaram que “endereços de acesso originados na China” foram identificados em servidores nacionais afetados por uma vulnerabilidade crítica. Há cerca de dois anos, a Microsoft já havia alertado sobre o grupo chinês chamado Volt Typhoon, acusado de realizar “atividades maliciosas furtivas e direcionadas” contra infraestruturas governamentais estratégicas dos EUA.
No entanto, ainda não está claro se a falha foi descoberta diretamente pelos invasores ou se eles a utilizaram após ataques originados por outras fontes. Até o momento, nenhum grupo reivindicou a autoria do ataque ou iniciou a venda de dados roubados, prática comum em ataques cibernéticos desse porte.
Caso os invasores tenham explorado a vulnerabilidade, eles poderiam ter obtido acesso não autorizado a servidores inteiros, incluindo comunicações, configurações e documentos confidenciais, além da possibilidade de instalar malwares para executar códigos remotamente dentro da rede.
Detalhes sobre a falha no SharePoint
No sábado (19), a Microsoft notificou seus clientes sobre um incidente de segurança envolvendo o SharePoint, a plataforma colaborativa para gerenciamento de documentos da empresa. Uma vulnerabilidade do tipo “zero-day” estava sendo explorada por agentes maliciosos capazes de capturar chaves de acesso e invadir servidores para roubar arquivos, acessar informações internas e propagar ataques na rede. Até agora, a Microsoft não divulgou detalhes técnicos sobre a origem da falha.
A ameaça foi identificada como ToolShell, catalogada como a vulnerabilidade CVE-2025-53770, variante de uma falha semelhante previamente conhecida pela empresa, a CVE-2025-49706. Segundo a empresa de segurança Mandiant, pelo menos 54 organizações, entre multinacionais e entidades governamentais de diversos países, confirmaram terem sofrido acesso não autorizado via SharePoint.
Resposta da Microsoft
No domingo (20), a Microsoft iniciou a distribuição de atualizações de segurança para corrigir a falha no SharePoint Server Subscription Edition e, em seguida, lançou patches para as versões 2019 e 2016 da plataforma. Os ataques foram direcionados especificamente ao SharePoint utilizado por empresas e órgãos governamentais, sem impacto para os usuários domésticos da versão Microsoft 365.
