Press Release: Portugal é o segundo país mais afetado por esta campanha de exploração ativa, representando 12% das tentativas registadas, logo atrás dos EUA com 32%.
A Check Point Research (CPR), equipa de investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pioneira e líder mundial em soluções de cibersegurança, identificou uma campanha sofisticada que explora uma vulnerabilidade crítica (CVE-2025-53770) no Microsoft SharePoint on-premise.
Embora a Microsoft já tenha criado um guia para minimizar o impacto, bem como um alerta CISA, ainda não existe, até ao momento, uma correção que resolva por completo esta falha de segurança. Segundo os investigadores da CPR, esta falha de segurança está a ser ativamente explorada por cibercriminosos desde 7 de julho, tendo como principais alvos infraestruturas governamentais, tecnológicas e de telecomunicações na América do Norte e na Europa.
Portugal destaca-se como sendo o segundo país mais visado por esta campanha de exploração, representando 12% de todas as tentativas registadas, logo após os Estados Unidos, que somam 32% dos ataques identificados.
Apelidada de “ToolShell”, esta campanha tira partido de uma falha de execução remota de código (RCE) que permite a atacantes não autenticados o acesso total a servidores SharePoint on-prem, executando comandos remotamente com impacto crítico em ambientes corporativos.
“Estamos perante uma ameaça urgente e ativa: uma vulnerabilidade crítica zero-day no SharePoint está a ser explorada no terreno, colocando milhares de organizações globais em risco. Desde 7 de julho confirmámos dezenas de tentativas de intrusão em setores sensíveis. É imperativo que as empresas atualizem os seus sistemas de segurança sem demora”, alerta Lotem Finkelstein, Diretor de Threat Intelligence na Check Point Research.
Principais conclusões da investigação da Check Point Research:
- A campanha "ToolShell" foi detetada pela primeira vez a 7 de julho, com ataques a intensificarem-se nos dias 18 e 19 de julho.
- Foram confirmadas múltiplas tentativas de comprometimento em servidores localizados nos EUA e na Europa, particularmente em entidades governamentais, tecnológicas e de telecomunicações.
- Os atacantes estão a utilizar também vulnerabilidades conhecidas na plataforma Ivanti Endpoint (CVE-2025-4427 e CVE-2025-4428) em conjunto com esta exploração zero-day.
- A técnica envolve um webshell personalizado que processa parâmetros através de VIEWSTATE para realizar ataques de desserialização insegura.
- Endereços IP maliciosos envolvidos: 104.238.159.149, 107.191.58.76 e 96.9.125.147.
Recomendações urgentes para equipas de segurança:
- Garantir que o seu software de Anti-Malware Scan está ativo.
- Rodar as chaves ASP.NET nos servidores SharePoint.
- Utilizar o Check Point Harmony Endpoint para bloquear atividades pós-exploração.
- Restringir o acesso público ao SharePoint, utilizando soluções de acesso privado, quando aplicável.
- Atualizar o Quantum Gateway IPS para o pacote 635254838, assegurando que a proteção está ativa em modo “Prevent” e a inspecionar todo o tráfego relacionado com o SharePoint.
Caso sejam detetadas atividades suspeitas, recomendamos que contacte imediatamente a Equipa de Resposta a Incidentes da Check Point.
Siga a Check Point Software:
- X: http://www.twitter.com/checkpointsw
- Blog: http://blog.checkpoint.com
- YouTube: http://www.youtube.com/user/CPGlobal
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com) é um fornecedor líder de plataformas de cibersegurança alimentadas por IA e fornecidas na cloud, protegendo mais de 100.000 organizações em todo o mundo. A Check Point aproveita o poder da IA em todo o lado para melhorar a eficiência e a precisão da cibersegurança através da sua Plataforma Infinity, com taxas de captura líderes na indústria, permitindo uma antecipação proativa de ameaças e tempos de resposta mais inteligentes e rápidos. A plataforma abrangente inclui tecnologias fornecidas pela cloud que consistem em Check Point Harmony para proteger o espaço de trabalho, Check Point CloudGuard para proteger a cloud, Check Point Quantum para proteger a rede e Check Point Infinity Core Services para operações e serviços de segurança colaborativos.
Mais informações aqui.
