CISA alerta: nova falha crítica no SharePoint (CVE-2026-58644) já sob exploração ativa

A CISA adicionou ao catálogo Known Exploited Vulnerabilities (KEV) uma nova falha crítica no Microsoft SharePoint — CVE-2026-58644, com CVSS 9.8 — que já está sendo explorada ativamente no mundo real, apenas dias após ser corrigida no Patch Tuesday de julho de 2026. A vulnerabilidade permite execução remota de código via deserialização de dados não confiáveis. Agências federais americanas têm três dias para aplicar o patch, prazo determinado pela BOD 26-04. Junto com o SharePoint, dois bugs em FortiSandbox da Fortinet também foram incluídos no catálogo.

O que aconteceu

Quando a Microsoft publicou o pacote de correções de julho, a CVE-2026-58644 estava listada como “não explorada”, categoria que costuma dar aos administradores algumas semanas de gordura para planejar a aplicação de patches. Essa margem evaporou em questão de dias: a Microsoft atualizou o advisory reconhecendo exploração detectada em ambiente real, e a CISA — agência de cibersegurança do governo americano — incluiu a falha no catálogo KEV na quinta-feira, apenas 48 horas após emitir o primeiro alerta sobre o risco.

A vulnerabilidade é do tipo deserialization of untrusted data — uma classe de bug que a Microsoft já conhece bem em SharePoint e que voltou a aparecer em três CVEs distintas no mesmo release: além da 58644, o mesmo Patch Tuesday trouxe a CVE-2026-56164 (zero-day que já vinha sendo explorada antes da divulgação) e a CVE-2026-55040 (bypass de segurança crítico que permite divulgação e modificação de arquivos).

A CISA também adicionou ao KEV duas falhas em FortiSandbox — CVE-2026-25089 e CVE-2026-39808 — corrigidas em junho e abril respectivamente. A empresa de inteligência de exploits Defused já havia sinalizado ambas como exploradas em meados de junho, mas o catálogo formal só recebeu a atualização agora.

Detalhes técnicos

Segundo o advisory da Microsoft, o atacante precisa estar autenticado como Site Owner ou nível superior para explorar a CVE-2026-58644 — uma limitação que reduz a superfície mas não a elimina. Contas de Site Owner são amplamente distribuídas em ambientes corporativos, especialmente em SharePoint on-premises usados como intranet colaborativa, e credenciais desse nível aparecem regularmente em dumps de infostealers como Redline, Vidar e o mais recente CrashStealer.

“Em um ataque baseado em rede, um atacante autenticado como pelo menos Site Owner poderia escrever código arbitrário para injetar e executar remotamente no servidor SharePoint.”

Advisory da Microsoft para CVE-2026-58644

Uma vez explorada, a falha entrega controle no nível de conta de serviço do SharePoint — normalmente uma identidade com privilégios elevados no domínio Active Directory, o que abre caminho para movimentação lateral. Em ambientes híbridos com Azure Entra ID conectado, um servidor SharePoint comprometido é um ponto de partida particularmente perigoso para pivotar para a nuvem.

Quem é afetado

  • Servidores SharePoint on-premises em todas as edições suportadas na data do Patch Tuesday de julho de 2026
  • Ambientes com integração AD/Entra ID — o risco de escalada de privilégio e lateralização é significativo
  • Agências federais americanas — obrigadas a aplicar patch em até 3 dias por força da BOD 26-04
  • Fornecedores e integradores que hospedam farms SharePoint para clientes governamentais ou regulados
  • Usuários de FortiSandbox — CVE-2026-25089 e CVE-2026-39808 exigem patches disponíveis desde junho e abril

Análise

SharePoint está se transformando em fonte recorrente de emergências de patch. Em 2025, a série ToolShell (CVE-2025-53770 e correlatas) provocou paralisação massiva em farms corporativas nos EUA, Europa e Ásia, com grupos ligados à China entre os principais exploradores. Agora, em julho de 2026, o produto voltou a expor três vulnerabilidades críticas no mesmo release, duas delas exploradas antes ou logo após a divulgação. É um padrão: SharePoint acumula décadas de código, muitas superfícies expostas (REST, SOAP, workflows, deserialização), e uma base instalada resistente à migração para o Microsoft 365.

O intervalo entre patch e exploração ativa continua se comprimindo. Adversários estatais e ransomware operators mantêm equipes especializadas em engenharia reversa de patches Microsoft — o tempo médio entre “Patch Tuesday” e “exploit funcional na natureza” caiu de semanas para dias na maioria das falhas de alta severidade. A CVE-2026-58644, migrada em 48 horas de “não explorada” para “no KEV”, ilustra o problema. Para defensores, isso encurta drasticamente a janela de operação — patch mensal deixou de ser cadência segura para bugs de alta severidade.

Comparando com a semana atual, temos wp2shell atacando WordPress no mesmo dia da divulgação, ransomware paralisando a Fairlife, e SharePoint sob fogo — três incidentes em produtos amplamente usados no Brasil. A concorrência por atenção do CISO nunca esteve tão apertada; priorização por criticidade real (KEV + ambiente exposto + credenciais na natureza) é a única forma de manter foco.

Recomendações práticas

  • Aplicar Patch Tuesday de julho de 2026 em todos os SharePoint on-premises imediatamente — não esperar janela de manutenção mensal
  • Auditar contas com nível Site Owner ou superior; identificar as inativas ou com senhas antigas
  • Ativar MFA em todas as contas administrativas do SharePoint e nos sistemas conectados via SSO/Entra ID
  • Revisar logs de acesso das últimas duas semanas em busca de padrões anômalos — foco em POSTs para páginas ASPX de administração e endpoints REST
  • Aplicar patches para FortiSandbox (CVE-2026-25089 e CVE-2026-39808) se ainda pendentes — bugs conhecidos por Defused desde junho
  • Integrar o KEV catalog em pipelines de vulnerability management — inclusão no KEV deve virar SLA agressivo automaticamente, mesmo fora de agências federais
  • Reforçar monitoramento de contas de serviço do SharePoint em SIEM, com detecções específicas para deserialização e criação de arquivos ASPX inesperados em pastas do IIS
  • Considerar migração para SharePoint Online (Microsoft 365) onde o modelo de operação transfere parte da responsabilidade de patch à Microsoft — decisão estratégica de médio prazo

Fonte: SecurityWeek

TheNinja

Recent Posts

Coca-Cola paralisa produção da Fairlife nos EUA após ataque de ransomware

Ataque de ransomware força a suspensão da produção da Fairlife em três plantas dos EUA…

5 horas ago

wp2shell: falha crítica no núcleo do WordPress permite RCE sem autenticação em milhões de sites

Dupla de bugs no núcleo (CVE-2026-63030 + CVE-2026-60137) permite RCE anônimo em WordPress 6.9 e…

6 horas ago

GhostApproval, Friendly Fire e HalluSquatting: a nova safra de ataques contra agentes de IA e como a cadeia de dev se blindou em julho

GhostApproval, Friendly Fire e HalluSquatting: três ataques novos contra agentes de IA — patches, riscos…

9 horas ago

Sanofi renova aposta com Owkin: cinco anos, K Pro e agentes de IA para reengenharia farmacêutica de ponta a ponta

Sanofi renova parceria com a Owkin por cinco anos, licenciando o K Pro para desenvolver…

9 horas ago

Kimi K3: Moonshot AI abre modelo de 2,8 trilhões de parâmetros e destrona Claude Fable 5 no Frontend Code Arena

Moonshot AI lança Kimi K3 com 2,8T parâmetros MoE, 1M de contexto, Kimi Delta Attention…

9 horas ago