Por meio de um comunicado oficial, o Microsoft Security Response Center (MSRC) publicou um blog abordando ataques ativos contra servidores SharePoint locais que exploram a CVE-2025-49706, uma vulnerabilidade de falsificação, e a CVE-2025-49704, uma vulnerabilidade de execução remota de código. Essas vulnerabilidades afetam apenas os servidores SharePoint locais e não afetam o SharePoint Online no Microsoft 365. A Microsoft lançou novas atualizações de segurança abrangentes para todas as versões com suporte do SharePoint Server (Edições de Assinatura, 2019 e 2016) que protegem os clientes contra essas novas vulnerabilidades. Os clientes devem aplicar essas atualizações imediatamente para garantir sua proteção.
Essas atualizações de segurança abrangentes abordam vulnerabilidades de segurança recentemente divulgadas na CVE-2025-53770 que estão relacionadas à vulnerabilidade CVE-2025-49704 divulgada anteriormente. As atualizações também abordam a vulnerabilidade de bypass de segurança CVE-2025-53771 para a CVE-2025-49706 divulgada anteriormente.
De acordo com a Microsoft, dois agentes estatais chineses, Linen Typhoon e Violet Typhoon, estavam explorando essas vulnerabilidades visando servidores SharePoint voltados para a internet. Além disso, a companhia diz ter observado outro agente de ameaça baseado na China, identificado como Storm-2603, explorando essas vulnerabilidades.
As investigações sobre outros agentes que também utilizam essas explorações ainda estão em andamento. Com a rápida adoção dessas explorações, a Microsoft avalia com grande confiança que os agentes de ameaça continuarão a integrá-las em seus ataques contra sistemas SharePoint locais sem patches. O blog da Microsoft compartilhou detalhes da exploração observada das CVE-2025-49706 e CVE-2025-49704 e as táticas, técnicas e procedimentos (TTPs) subsequentes pelos agentes de ameaça.
A Microsoft recomendou aos clientes que utilizem versões compatíveis de servidores SharePoint locais com as atualizações de segurança mais recentes. Para impedir que ataques não autenticados explorem essa vulnerabilidade, os clientes também devem integrar e habilitar a Interface de Verificação Antimalware (AMSI) e o Microsoft Defender Antivirus (ou soluções equivalentes) para todas as implantações locais do SharePoint e configurar a AMSI para habilitar o Modo Completo. Os clientes também devem rotacionar as chaves de máquina ASP.NET do servidor SharePoint, reiniciar os Serviços de Informações da Internet (IIS) e implantar o Microsoft Defender para Endpoint ou soluções equivalentes.
