Microsoft ha emès una solució d’emergència per tancar una vulnerabilitat al programari SharePoint de Microsoft, l’ús del qual està molt estès i que els pirates informàtics han aprofitat per dur a terme atacs generalitzats a empreses i almenys algunes agències governamentals dels Estats Units.

L’empresa va emetre una alerta als clients dissabte dient que era conscient de l’explotació de dia zero que es feia servir per dur a terme atacs i que estava treballant per solucionar el problema. Microsoft va actualitzar diumenge les seves instruccions per solucionar el problema per a SharePoint Server 2019 i SharePoint Server Subscription Edition. Els enginyers encara estaven treballant en una solució per al programari més antic de SharePoint Server 2016.

«Qualsevol persona que tingui un servidor SharePoint allotjat té un problema», va dir Adam Meyers, vicepresident sènior de CrowdStrike, una empresa de ciberseguretat. «És una vulnerabilitat important.»

Les empreses i les agències governamentals de tot el món utilitzen SharePoint per a la gestió interna de documents, l’organització de dades i la col·laboració.

Un explotador de dia zero és un ciberatac que aprofita una vulnerabilitat de seguretat desconeguda anteriorment. «Zero Day» es refereix al fet que els enginyers de seguretat han tingut zero dies per desenvolupar una solució per a la vulnerabilitat.

Segons l’Agència de Seguretat de la Ciberseguretat i la Infraestructura dels Estats Units (CISA), l’explotació que afecta SharePoint és «una variant de la vulnerabilitat existent CVE-2025-49706 i suposa un risc per a les organitzacions amb servidors de SharePoint locals.»

Els investigadors de seguretat adverteixen que l’explotació, coneguda com a «ToolShell», és greu i pot permetre que els actors accedeixin completament als sistemes de fitxers SharePoint, inclosos els serveis connectats a SharePoint, com ara Teams i OneDrive.

El grup d’intel·ligència d’amenaces de Google va advertir que la vulnerabilitat pot permetre que els actors dolents «evitin els pedaços futurs».

Eye Security va dir a la seva publicació al blog que va escanejar més de 8.000 servidors SharePoint a tot el món i va descobrir que almenys desenes de sistemes estaven compromesos. L’empresa de ciberseguretat va dir que els atacs probablement van començar el 18 de juliol.

Microsoft va dir que la vulnerabilitat només afecta els servidors SharePoint in situ que es fan servir a les empreses o organitzacions i no afecta el servei SharePoint Online basat en núvol de Microsoft.

Però Michael Sikorski, CTO i cap d’intel·ligència d’amenaces de la unitat 42 de Palo Alto Networks, adverteix que l’explotació encara en deixa molts potencialment exposats a actors dolents.

«Tot i que els entorns en núvol no es veuen afectats, els desplegaments locals de SharePoint, especialment al govern, les escoles, l’assistència sanitària, inclosos els hospitals, i les grans empreses, estan en risc immediat.»

La vulnerabilitat s’adreça al programari del servidor SharePoint, de manera que els clients d’aquest producte voldran seguir immediatament les instruccions de Microsoft per resoldre la vulnerabilitat als seus sistemes in situ.

Tot i que encara s’està avaluant l’abast de l’atac, CISA ha advertit que l’impacte podria ser generalitzat i ha recomanat que els servidors afectats per l’explotació es desconnectin d’Internet fins que se’ls apliquin els pedaços.

«Estem instant les organitzacions que estan executant SharePoint localment que prenguin mesures immediatament i apliquin tots els pedaços rellevants ara i a mesura que estiguin disponibles, rotin tot el material criptogràfic i participin en una resposta professional als incidents. Una solució immediata seria desconnectar el vostre Microsoft SharePoint d’Internet fins que hi hagi un pedaç», aconsella Sikorski.