Ataque Global ao SharePoint: Agência Nuclear dos EUA Entre 400 Vítimas de Vulnerabilidade Zero-Day

Um ciberataque coordenado explorando vulnerabilidades desconhecidas no Microsoft SharePoint comprometeu mais de 400 organizações em todo o mundo, com a Administração de Segurança Nuclear dos EUA (NNSA) entre as vítimas mais importantes. Os ataques, iniciados em meados de julho de 2025, exploraram três falhas zero-day para acessar documentos confidenciais e credenciais de sistemas em agências governamentais e empresas privadas.

A equipe de segurança da Microsoft confirmou que os invasores, suspeitos de serem grupos patrocinados pelo Estado chinês, exploraram uma cadeia de vulnerabilidades, incluindo uma apelidada de 'ToolShell' (CVE-2025-32891), que permitia execução remota de código via requisições API manipuladas. Duas outras falhas nos mecanismos de autenticação do SharePoint (CVE-2025-32892 e CVE-2025-32893) foram usadas para elevação de privilégios e persistência no sistema.

O ataque à NNSA, embora não tenha comprometido diretamente sistemas de armas nucleares, expôs documentos administrativos sensíveis e registros de pessoal. Analistas observaram que os ataques visaram instâncias do SharePoint sem autenticação multifator, usando servidores comprometidos como ponte para recursos em nuvem conectados.

A Microsoft lançou correções emergenciais em 22 de julho, mas equipes de segurança alertam que muitas organizações ainda estão vulneráveis devido à necessidade de atualizações manuais em servidores SharePoint. O grupo de Inteligência de Ameaças da empresa detectou exfiltração de dados como e-mails, contratos e hashes de credenciais das redes afetadas.

Especialistas em cibersegurança recomendam:

O ataque reforça preocupações sobre plataformas de colaboração corporativa como alvos valiosos para ameaças persistentes avançadas, especialmente quando envolvem agentes patrocinados por Estados-nação.