A CISA adicionou ao catálogo Known Exploited Vulnerabilities (KEV) uma nova falha crítica no Microsoft SharePoint — CVE-2026-58644, com CVSS 9.8 — que já está sendo explorada ativamente no mundo real, apenas dias após ser corrigida no Patch Tuesday de julho de 2026. A vulnerabilidade permite execução remota de código via deserialização de dados não confiáveis. Agências federais americanas têm três dias para aplicar o patch, prazo determinado pela BOD 26-04. Junto com o SharePoint, dois bugs em FortiSandbox da Fortinet também foram incluídos no catálogo.
Quando a Microsoft publicou o pacote de correções de julho, a CVE-2026-58644 estava listada como “não explorada”, categoria que costuma dar aos administradores algumas semanas de gordura para planejar a aplicação de patches. Essa margem evaporou em questão de dias: a Microsoft atualizou o advisory reconhecendo exploração detectada em ambiente real, e a CISA — agência de cibersegurança do governo americano — incluiu a falha no catálogo KEV na quinta-feira, apenas 48 horas após emitir o primeiro alerta sobre o risco.
A vulnerabilidade é do tipo deserialization of untrusted data — uma classe de bug que a Microsoft já conhece bem em SharePoint e que voltou a aparecer em três CVEs distintas no mesmo release: além da 58644, o mesmo Patch Tuesday trouxe a CVE-2026-56164 (zero-day que já vinha sendo explorada antes da divulgação) e a CVE-2026-55040 (bypass de segurança crítico que permite divulgação e modificação de arquivos).
A CISA também adicionou ao KEV duas falhas em FortiSandbox — CVE-2026-25089 e CVE-2026-39808 — corrigidas em junho e abril respectivamente. A empresa de inteligência de exploits Defused já havia sinalizado ambas como exploradas em meados de junho, mas o catálogo formal só recebeu a atualização agora.
Segundo o advisory da Microsoft, o atacante precisa estar autenticado como Site Owner ou nível superior para explorar a CVE-2026-58644 — uma limitação que reduz a superfície mas não a elimina. Contas de Site Owner são amplamente distribuídas em ambientes corporativos, especialmente em SharePoint on-premises usados como intranet colaborativa, e credenciais desse nível aparecem regularmente em dumps de infostealers como Redline, Vidar e o mais recente CrashStealer.
“Em um ataque baseado em rede, um atacante autenticado como pelo menos Site Owner poderia escrever código arbitrário para injetar e executar remotamente no servidor SharePoint.”
Advisory da Microsoft para CVE-2026-58644
Uma vez explorada, a falha entrega controle no nível de conta de serviço do SharePoint — normalmente uma identidade com privilégios elevados no domínio Active Directory, o que abre caminho para movimentação lateral. Em ambientes híbridos com Azure Entra ID conectado, um servidor SharePoint comprometido é um ponto de partida particularmente perigoso para pivotar para a nuvem.
SharePoint está se transformando em fonte recorrente de emergências de patch. Em 2025, a série ToolShell (CVE-2025-53770 e correlatas) provocou paralisação massiva em farms corporativas nos EUA, Europa e Ásia, com grupos ligados à China entre os principais exploradores. Agora, em julho de 2026, o produto voltou a expor três vulnerabilidades críticas no mesmo release, duas delas exploradas antes ou logo após a divulgação. É um padrão: SharePoint acumula décadas de código, muitas superfícies expostas (REST, SOAP, workflows, deserialização), e uma base instalada resistente à migração para o Microsoft 365.
O intervalo entre patch e exploração ativa continua se comprimindo. Adversários estatais e ransomware operators mantêm equipes especializadas em engenharia reversa de patches Microsoft — o tempo médio entre “Patch Tuesday” e “exploit funcional na natureza” caiu de semanas para dias na maioria das falhas de alta severidade. A CVE-2026-58644, migrada em 48 horas de “não explorada” para “no KEV”, ilustra o problema. Para defensores, isso encurta drasticamente a janela de operação — patch mensal deixou de ser cadência segura para bugs de alta severidade.
Comparando com a semana atual, temos wp2shell atacando WordPress no mesmo dia da divulgação, ransomware paralisando a Fairlife, e SharePoint sob fogo — três incidentes em produtos amplamente usados no Brasil. A concorrência por atenção do CISO nunca esteve tão apertada; priorização por criticidade real (KEV + ambiente exposto + credenciais na natureza) é a única forma de manter foco.
Fonte: SecurityWeek
Ataque de ransomware força a suspensão da produção da Fairlife em três plantas dos EUA…
Dupla de bugs no núcleo (CVE-2026-63030 + CVE-2026-60137) permite RCE anônimo em WordPress 6.9 e…
GhostApproval, Friendly Fire e HalluSquatting: três ataques novos contra agentes de IA — patches, riscos…
Sanofi renova parceria com a Owkin por cinco anos, licenciando o K Pro para desenvolver…
FDA aceita no programa ISTAND o Digital Liver Model da Absentia Labs — primeiro DDT…
Moonshot AI lança Kimi K3 com 2,8T parâmetros MoE, 1M de contexto, Kimi Delta Attention…