Digital Inside

23 jul 2025 08:00

Tecnologia

Destaques de Digital Inside

Digital Inside · Tecnologia · 23 jul 2025 12:34

Equinix e Groq lançam a primeira infraestrutura de inferência de IA da Groq na Europa
Digital Inside · Tecnologia · 23 jul 2025 08:00

“ToolShell”: Vulnerabilidade zero-day no SharePoint coloca Portugal no epicentro de uma cibercrise global
Digital Inside · Tecnologia · 23 jul 2025 08:00

IA: potencial gigantesco, confiança frágil

Ver mais notícias

“ToolShell”: Vulnerabilidade zero-day no SharePoint coloca Portugal no epicentro de uma cibercrise global

Uma vulnerabilidade crítica no Microsoft SharePoint está a ser explorada por cibercriminosos em ataques altamente direcionados — e Portugal é o segundo país mais visado. A campanha “ToolShell” compromete infraestruturas sensíveis e exige resposta imediata das equipas de cibersegurança.

Sete em cada dez millennials admitem não verificar a autenticidade das suas ligações online. Este dado, aparentemente sociológico, ganha contornos técnicos alarmantes quando inserido no atual contexto de ameaça digital. Enquanto uma nova geração cresce com hábitos de navegação vulneráveis, uma campanha de ciberataques de alta sofisticação está em curso, explorando uma falha crítica no Microsoft SharePoint — com Portugal no topo das geografias mais atacadas.

SharePoint sob ataque: o que está em causa?

A Check Point Research revelou uma nova campanha de exploração ativa a uma falha zero-day, identificada como CVE-2025-53770, no Microsoft SharePoint on-premise. Esta vulnerabilidade permite execução remota de código (RCE) por atacantes não autenticados, proporcionando controlo total sobre os servidores afetados. A campanha foi batizada de “ToolShell” e já está a ser usada para comprometer infraestruturas críticas — desde entidades governamentais a operadores de telecomunicações — sobretudo na América do Norte e Europa.

Portugal surge como o segundo país mais visado, representando 12% das tentativas de intrusão registadas, apenas atrás dos EUA com 32%. O dado é significativo: revela não só o grau de exposição digital da economia portuguesa, como também uma certa falta de preparação para lidar com este tipo de ameaças direcionadas.

Desde 7 de julho, o ataque intensificou-se. Os invasores utilizam um webshell personalizado que explora falhas no processamento de parâmetros VIEWSTATE para executar desserialização insegura — uma técnica de ataque cada vez mais comum em campanhas dirigidas contra plataformas empresariais. O impacto é profundo: acesso remoto, execução de comandos maliciosos, e potencial movimentação lateral na infraestrutura da organização.

Para além da falha no SharePoint, os atacantes combinam este vetor com duas outras vulnerabilidades conhecidas na plataforma Ivanti Endpoint (CVE-2025-4427 e CVE-2025-4428), ampliando o alcance da ofensiva e dificultando a deteção.

Os endereços IP associados à campanha incluem:

104.238.159.149
107.191.58.76
96.9.125.147

Estes devem ser imediatamente bloqueados nas firewalls empresariais e monitorizados em logs de tráfego histórico.

Uma resposta urgente para uma ameaça real

Lotem Finkelstein, Diretor de Threat Intelligence da Check Point Research, é direto: “Estamos perante uma ameaça urgente e ativa. Esta vulnerabilidade crítica está a ser explorada no terreno, colocando milhares de organizações em risco”.

Apesar de existir um alerta da CISA e um guia de mitigação da Microsoft, ainda não foi lançada uma correção completa (patch). As organizações devem adotar medidas preventivas imediatas:

Recomendações técnicas para equipas de cibersegurança:

Ativar e atualizar soluções Anti-Malware com capacidades de deteção comportamental.
Rodar as chaves ASP.NET nos servidores SharePoint para prevenir reutilização de sessões comprometidas.
Restringir o acesso público ao SharePoint, adotando soluções de Zero Trust e acesso privado seguro.
Atualizar o Quantum Gateway IPS para o pacote 635254838, assegurando que a proteção está ativa em modo “Prevent”.

A gravidade técnica da campanha “ToolShell” é indiscutível. Mas o seu sucesso não depende apenas da engenharia digital — depende do comportamento humano. Num contexto em que 70% dos utilizadores mais jovens negligenciam a autenticidade das suas ligações, a porta de entrada para ataques como este continua escancarada.

Educar utilizadores, reforçar políticas de ciber-higiene e implementar autenticação robusta são medidas tão críticas quanto o patching de sistemas.

O caso “ToolShell” é mais do que mais uma vulnerabilidade explorada. É o reflexo de um ecossistema onde a digitalização acelerada corre muitas vezes à frente da maturidade em cibersegurança. Para Portugal, o facto de estar entre os países mais atacados deve servir de alerta estratégico: é urgente reforçar a capacidade de defesa cibernética — nas empresas, no setor público e na literacia digital da sociedade.

Enquanto a correção definitiva da Microsoft não chega, a resposta tem de ser coordenada, informada e implacável. O tempo de reação conta — e, neste momento, estamos a correr atrás do prejuízo.