# SharePoint ToolShell Exploitation ## Descrição A campanha SharePoint ToolShell Exploitation foi conduzida em julho de 2025 e abrangeu as primeiras ondas de exploração contra vulnerabilidades de spoofing (CVE-2025-49706) e execução remota de código (RCE) (CVE-2025-49704) - parcialmente corrigidas - afetando servidores Microsoft SharePoint on-premises. Posteriormente corrigidas e renumeradas como CVE-2025-53770 e CVE-2025-53771, as vulnerabilidades ToolShell foram amplamente exploradas, incluindo pelo ator de ransomware Storm-2603 (com base na China) e pelos atores de espionagem Threat Group-3390 e ZIRCONIUM. A campanha SharePoint ToolShell Exploitation atingiu múltiplas regiões e setores, incluindo finanças, educação, energia e saúde na Ásia, Europa e Estados Unidos. ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1657-financial-theft|T1657 - Financial Theft]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Software Utilizado - [[psexec|PsExec]] - [[mimikatz|Mimikatz]] - [[s0508-ngrok|ngrok]] - [[s0357-impacket|Impacket]] --- *Fonte: [MITRE ATT&CK - C0058](https://attack.mitre.org/campaigns/C0058)*