A falha do Microsoft SharePoint afeta servidores instalados localmente e já está a ser usada em ataques contra empresas e instituições públicas em vários países.
A Microsoft confirmou uma falha grave de segurança no SharePoint Server, um dos seus produtos empresariais mais utilizados para colaboração interna e gestão de documentos. A vulnerabilidade, está a ser exploração ativamente, afetando servidores instalados localmente — conhecidos como on-premise — e não as versões baseadas na nuvem como o SharePoint Online.
De acordo com um recente relatório da Check Point Research, os ataques começaram a ser registados no início de julho e aumentaram significativamente a 18 e 19 do mesmo mês. A campanha, identificada com o nome ToolShell, permite que atacantes não autenticados executem comandos remotamente e acedam por completo ao sistema de ficheiros dos servidores afetados, incluindo serviços associados como o Teams e o OneDrive.
Portugal surge como o segundo país mais afetado, com 12% das tentativas de ataque registadas, ficando apenas atrás dos Estados Unidos, que representam 32% do total. Os alvos principais incluem instituições governamentais, empresas de telecomunicações e entidades tecnológicas.
A falha em causa foi classificada como uma vulnerabilidade zero-day, o que significa que estava a ser explorada antes de haver qualquer correção disponível. De acordo com a Microsoft, já existem orientações de mitigação para o SharePoint Server 2019 e SharePoint Server Subscription Edition, mas os utilizadores do SharePoint Server 2016 continuam sem uma solução completa. A equipa de engenheiros da Microsoft ainda está a trabalhar num patch.
A campanha ToolShell baseia-se numa técnica que envolve a utilização de um webshell personalizado, explorando falhas de desserialização insegura através do parâmetro VIEWSTATE. E foram ainda identificados três endereços IP maliciosos associados à campanha: 104.238.159.149, 107.191.58.76 e 96.9.125.147. Em paralelo, os atacantes estão a usar outras vulnerabilidades conhecidas na plataforma Ivanti Endpoint para aumentar o alcance das intrusões.
Tanto a Microsoft como a Check Point publicaram instruções detalhadas para mitigar os riscos. As recomendações incluem trocar as chaves ASP.NET, garantir que o antivírus está ativo, restringir o acesso público aos servidores SharePoint, e aplicar as proteções atualizadas nos sistemas de deteção de intrusões.
Para os sistemas mais expostos, os especialistas sugerem desligar temporariamente os servidores da Internet até que a aplicação dos mecanismos de segurança esteja concluída.
