No último fim de semana de julho de 2025, a Microsoft acendeu o alerta mundial. Uma ofensiva cibernética em larga escala, focada nos servidores SharePoint, atingiu instituições públicas e privadas no mundo todo, criando um cenário de grande preocupação para a segurança digital.
A plataforma, amplamente usada para gerenciamento e compartilhamento de documentos, viu uma vulnerabilidade grave ser explorada antes mesmo de qualquer correção estar disponível.
O que se sabe, na prática, sobre essa falha no SharePoint e como ela está impactando o panorama global de cibersegurança? Este artigo reúne as informações mais importantes, destrinchando o ocorrido e as medidas a serem tomadas.
O que aconteceu com o SharePoint da Microsoft?
Hackers conseguiram explorar uma brecha seríssima no SharePoint, aquele software que muita gente usa para organizar e compartilhar documentos em ambientes corporativos. Pois bem, a falha afeta servidores que rodam localmente nas empresas (os chamados on-premises), o que é um ponto importante.
A versão na nuvem, o SharePoint Online, parece que não foi atingida, o que já alivia uma parte dos usuários.
Essa falha, identificada como CVE-2025-53771 e com uma variante CVE-2025-53770, é daquelas bem traiçoeiras: um ataque “zero-day”. Isso quer dizer que a vulnerabilidade era desconhecida pelo próprio fabricante, no caso a Microsoft, até o momento em que a invasão começou.
Foi a empresa holandesa Eye Security que deu o primeiro alarme, identificando os indícios iniciais da ofensiva na sexta-feira, dia 18 de julho de 2025.
Basicamente, essa brecha permite que os invasores se passem por usuários ou serviços legítimos — uma técnica que chamamos de “spoofing” — e consigam acesso a coisas muito sensíveis.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) deixou claro: o acesso pode chegar a sistemas de arquivos, configurações internas da rede e até a execução de códigos remotamente.
Na prática, isso compromete o ambiente digital da organização por completo, um baita problema pra quem foi pego de surpresa.
Por que este ataque ao SharePoint é considerado tão sério?
Olha, o comprometimento do SharePoint é encarado como algo crítico por um motivo simples: a plataforma é um pilar em muitas estruturas essenciais, com protocolos de segurança robustos. Quando a fortaleza é violada, os invasores ganham um poder de impacto gigante.
Uma das maiores preocupações, sem contar a execução de códigos e o acesso a arquivos, é que os hackers conseguiram roubar chaves criptográficas.
Isso é um detalhe técnico, mas com um impacto prático enorme: mesmo depois que as empresas aplicam as atualizações de segurança, essas chaves podem permitir que os cibercriminosos voltem a se passar por usuários ou serviços legítimos, mantendo o acesso.
Além disso, foram identificados os famosos “backdoors” ou componentes modificados. Esses atalhos, instalados pelos hackers, garantem acesso contínuo aos sistemas, tipo uma porta dos fundos que fica aberta mesmo depois de você trancar a porta principal.
Um pesquisador anônimo, em conversa com o Washington Post, resumiu a gravidade: “Disponibilizar um patch agora não ajuda quem foi comprometido nas últimas 72 horas”. Isso mostra a dimensão da persistência que os invasores podem ter.
E tem mais, o SharePoint não funciona isolado. Ele se integra com outros produtos da Microsoft, como Outlook, Teams e OneDrive. Isso significa que, ao comprometer o SharePoint, os hackers podem ter uma porta de entrada para outros serviços cruciais da empresa, ampliando o estrago em cascata.
Há até relatos de sequestro de repositórios inteiros de documentos, com um funcionário de governo estadual dos EUA contando que os invasores simplesmente tomaram controle de um acervo público, deixando tudo inacessível. O medo, por exemplo, é que esses dados tenham sido apagados, num tipo de ataque raro e bem preocupante, chamado “wiper”.
O Silas Cutler, da Censys, até chamou isso de “um sonho para operadores de ransomware”.
Quais versões do SharePoint foram afetadas e quem são os alvos?
A Microsoft confirmou que os ataques estão mirando servidores das versões SharePoint Subscription Edition, SharePoint 2019 e SharePoint 2016. Pra se ter uma ideia, a atualização de segurança já saiu pra Subscription e 2019, mas a versão 2016 ainda está esperando uma correção definitiva. Ou seja, quem usa a 2016 está numa situação de maior vulnerabilidade, por enquanto.
Em termos de quem foi pego nessa história, os alvos são bem diversificados e globalizados.
O Washington Post informou que foram atingidas agências federais e estaduais dos EUA, empresas de energia, uma operadora de telecomunicações asiática e várias universidades, incluindo uma aqui no Brasil.
Estima-se que mais de 10 mil organizações estejam em risco, segundo Silas Cutler, pesquisador da Censys.
A maior concentração de servidores vulneráveis está nos Estados Unidos, mas logo depois vêm Países Baixos, Reino Unido e Canadá. Além desses, a Eye Security e a Shadowserver Foundation, que ajudaram a identificar o problema, confirmaram cerca de 100 entidades já comprometidas, espalhadas também pela Alemanha, América do Sul, União Europeia, África do Sul e Austrália.
O Center for Internet Security, por sua vez, notificou cem instituições — entre escolas públicas e universidades — sobre a possibilidade de terem sido comprometidas.
Aparentemente, os ataques não foram direcionados, mas sim uma tentativa de atingir o máximo de vítimas possível.
Como os hackers estão agindo e quais os riscos para as organizações?
A Eye Security, que foi quem primeiro identificou a vulnerabilidade, detalhou como os invasores estão operando. Eles conseguem roubar chaves criptográficas, o que permite que se passem por usuários ou serviços legítimos, e o pior: conseguem manter esse acesso mesmo depois que as atualizações de segurança são aplicadas.
Em alguns casos, identificaram “backdoors”, garantindo que os criminosos tenham um acesso contínuo aos sistemas das vítimas. Ou seja, não é só invadir, é garantir que a porta continue aberta.
O Adam Meyers, da CrowdStrike, foi direto ao Washington Post: “Quem tem um servidor SharePoint hospedado internamente tem um problema”.
Pete Renals, da Palo Alto Networks, alertou que os hackers estão numa corrida contra o tempo, tentando explorar milhares de servidores pelo mundo antes que as empresas consigam aplicar as atualizações. Isso explica a urgência do aviso da Microsoft e da CISA.
Na prática, as ameaças são várias. Além do roubo de dados sensíveis e senhas, há registros de sequestro de repositórios inteiros de documentos, o que significa que os invasores tomam o controle dos arquivos digitais, deixando o material inacessível para os próprios donos.
Se os dados foram apagados, é algo que ainda não se sabe, mas esse tipo de ataque, conhecido como “wiper”, é raríssimo e extremamente preocupante. Ele basicamente “limpa” os dados.
Também há a preocupação com o roubo de chaves digitais privadas dos servidores sem a necessidade de login. Com essas chaves, os invasores podem instalar malwares ou acessar dados internos.
A Eye Security também apontou que, como o SharePoint se conecta com Outlook, Teams e OneDrive, o impacto do ataque pode ser muito mais amplo do que se imagina.
Até agora, a autoria dos ataques não foi reivindicada por nenhum grupo, mas pesquisadores como Rafe Pilling, da Sophos, suspeitam que seja “obra de um único ator”, baseando-se na consistência das técnicas usadas.
O que a Microsoft e as autoridades dizem sobre o caso?
A Microsoft se manifestou rapidamente no X (antigo Twitter), afirmando que está trabalhando em conjunto com a CISA, o Comando de Defesa Cibernética do Departamento de Defesa dos EUA e outras entidades para tentar diminuir os estragos. A principal recomendação que eles deram para quem usa as versões afetadas é aplicar as atualizações de segurança imediatamente.
A CISA, por sua vez, foi alertada pela Eye Security numa sexta-feira e entrou em contato com a Microsoft na hora, como explicou Marci McCarthy, porta-voz da agência. Ela garantiu que a equipe tem trabalhado “sem descanso” pra resolver a situação.
O FBI também confirmou que está colaborando tanto com órgãos públicos quanto com o setor privado nessa investigação.
Alguns governos estaduais dos EUA, tipo o do Arizona, organizaram reuniões de emergência pra coordenar as respostas com as autoridades locais e tribais.
Outras empresas de segurança cibernética também se pronunciaram. A Palo Alto Networks avisou que as tentativas de ataque ao SharePoint “são reais, estão ocorrendo ativamente e representam uma ameaça séria”.
O Google Threat Intelligence Group, em um comunicado por e-mail, confirmou que observou hackers explorando a vulnerabilidade, e que ela permite “acesso persistente, não autenticado, e representa um risco significativo para as organizações afetadas”.
Pra Gene Yu, CEO da Blackpanda, uma empresa de resposta a incidentes cibernéticos, quando uma “fortaleza” como o SharePoint é comprometida, todo mundo fica vulnerável.
É a primeira vez que a Microsoft enfrenta ataques assim?
Infelizmente, não é a primeira vez que a Microsoft se vê no centro de uma crise de segurança cibernética. A empresa já teve que lidar com outras falhas graves no passado, e a situação atual no SharePoint segue um padrão de desafios que a gigante da tecnologia vem enfrentando.
Em 2023, por exemplo, uma investigação revelou que hackers chineses conseguiram acessar e-mails de autoridades dos EUA. Isso aconteceu por causa de falhas na segurança do Exchange Online, outro serviço da Microsoft.
Naquele incidente, os criminosos invadiram 22 organizações e centenas de pessoas, incluindo a ex-secretária de Comércio dos EUA, Gina Raimondo.
Mais recentemente, a Microsoft também foi alvo de críticas. Isso ocorreu depois que veio à tona que engenheiros baseados na China estavam trabalhando em projetos relacionados ao Departamento de Defesa dos EUA. Em resposta, a empresa anunciou que não usaria mais esses profissionais nessas atividades.
Além disso, um relatório do governo dos EUA, divulgado em 2024, classificou a cultura de segurança da Microsoft como “inadequada”, afirmando que ela precisava de reformas urgentes.
A empresa tem tentado reforçar sua cibersegurança, inclusive contratando novos executivos do governo dos EUA e promovendo reuniões semanais com a alta cúpula para deixar seus softwares mais resistentes.
Mesmo assim, os ataques ao SharePoint mostram que os desafios de segurança persistem e que os cibercriminosos estão sempre à espreita por novas brechas.
Quais são as recomendações urgentes para quem usa SharePoint?
A Microsoft e as principais agências de cibersegurança do mundo têm algumas recomendações bem claras para as empresas que usam os servidores SharePoint on-premises. A primeira e mais urgente é aplicar os patches de segurança imediatamente. A atualização já está disponível para as versões Subscription Edition e SharePoint 2019.
Pra quem usa o SharePoint 2016, a correção ainda está em desenvolvimento.
Caso a aplicação do patch não seja possível por algum motivo, a orientação é uma medida drástica, mas preventiva: desconectar os servidores SharePoint da internet. Essa é uma forma de isolar o problema até que a atualização possa ser instalada.
A CISA também reforçou essa medida, orientando que os servidores fiquem offline até novas atualizações estarem disponíveis.
Além de aplicar as correções, a Eye Security e a PwnDefend sugerem outras ações cruciais. É importante, por exemplo, trocar imediatamente as chaves digitais dos servidores comprometidos.
Isso porque, como já vimos, os invasores podem ter roubado essas chaves, o que lhes daria acesso mesmo depois da atualização.
Realizar uma varredura de segurança completa nos sistemas também é fundamental pra identificar qualquer vestígio de invasão.
Por fim, reiniciar os servidores após a instalação do patch e a varredura ajuda a “rotacionar” as chaves de acesso e a garantir que nenhum usuário não autorizado permaneça conectado.
É uma abordagem que a PwnDefend chamou de “violação presumida”, onde você assume que foi invadido e age a partir daí.
O cenário de ataque global ao Microsoft SharePoint exige vigilância constante e ações rápidas. As empresas precisam se manter atualizadas sobre as últimas informações e, principalmente, agir de forma proativa para proteger seus dados e infraestrutura.