Como parte da exploração, os atacantes enviam um arquivo chamado “spinstall0.aspx”, que é usado para roubar a configuração do MachineKey do Microsoft SharePoint Server, incluindo o ValidationKey e a DecryptionKey, informou os pesquisadores de segurança. “Depois que esse material criptográfico vazar, o invasor pode criar cargas úteis totalmente válidas e assinadas”, explicou em sua análise.
A empresa holandesa de segurança cibernética Eye Security, que primeiro identificou a campanha de exploração em massa, descobriu que os ataques começaram a visar sistematicamente servidores vulneráveis em 18 de julho, por volta das 18:00, horário da Europa Central. “Em poucas horas, identificamos mais de dezenas de servidores separados comprometidos usando exatamente a mesma carga útil na mesma filapath”, disseram pesquisadores de segurança ocular em suas análises.
A gravidade da ameaça levou a uma ação federal rápida, com a CISA adicionando CVE-2025-53770 ao seu catálogo de vulnerabilidades exploradas conhecidas no domingo, apenas dois dias após a confirmação da exploração ativa. “O BOO 22-01 exige que as agências federais do Filial Executivo (FCEB) remediem vulnerabilidades identificadas até a data de vencimento para proteger as redes da FCEB contra ameaças ativas”, observou a agência em seu consultoria, dando às agências federais até 21 de julho para implementar mitigações.
Fonte: Computer World
