SharePoint na mira: CVE-2026-45659 entra no KEV da CISA após exploração ativa

CISA colocou a CVE-2026-45659 (RCE de desserialização, CVSS 8.8) no catálogo KEV e deu às agências federais dos EUA prazo de 4 dias para corrigir. Falha exige apenas usuário com permissão de Site Member.

sharepoint-cisa-kev.jpg

A CISA incluiu na quarta-feira a falha CVE-2026-45659 no catálogo Known Exploited Vulnerabilities (KEV), confirmando exploração ativa em ambientes de produção. A vulnerabilidade de execução remota de código (RCE) atinge o Microsoft SharePoint Server, tem CVSS 8.8 e obriga agências federais dos EUA a corrigirem seus sistemas até 4 de julho de 2026 — um prazo de menos de 48 horas após o alerta.

O que aconteceu

A CVE-2026-45659 é uma vulnerabilidade de desserialização de dados não confiáveis em versões suportadas do SharePoint Server, incluindo Subscription Edition, SharePoint Server 2019 e Enterprise Server 2016. A Microsoft publicou correção em maio de 2026 e, à época, classificou a exploração como “menos provável”. Menos de dois meses depois, a agência norte-americana comprovou o oposto: adversários já estão usando a falha para obter execução remota de código em servidores expostos.

De acordo com o aviso publicado pela CISA, um atacante autenticado com permissões mínimas de Site Member (PR:L no CVSS) consegue explorar a falha via rede, sem interação do usuário e sem privilégios de administrador. Essa combinação é particularmente perigosa em ambientes corporativos onde qualquer colaborador com conta ativa pode se tornar vetor de comprometimento, sobretudo em empresas com filiais e credenciais compartilhadas mal higienizadas.

Detalhes da vulnerabilidade

Falhas de desserialização insegura estão entre as classes mais exploradas em servidores SharePoint. Nesse padrão, o servidor aceita objetos serializados vindos do cliente e os reconstrói na memória sem validação estrita, permitindo que um invasor injete gadgets .NET capazes de disparar execução de código arbitrário. A cadeia costuma se apoiar em ViewState, credenciais MachineKey mal geradas ou em endpoints que aceitam dados binários codificados.

Para os defensores, o dado crítico é que a exploração não exige credenciais privilegiadas: basta um usuário comum com acesso a algum site do farm. Isso coloca a superfície de ataque em qualquer intranet corporativa, portal de projetos ou espaço de colaboração de fornecedor — cenários comuns em bancos, governo e grandes indústrias.

“O Microsoft SharePoint Server contém uma vulnerabilidade de desserialização de dados não confiáveis que permite a um atacante autorizado executar código através de uma rede”, registrou a CISA no aviso do KEV.

Quem é afetado

  • SharePoint Server Subscription Edition sem o patch de maio de 2026
  • SharePoint Server 2019 nas builds anteriores à atualização de segurança
  • SharePoint Enterprise Server 2016 em ambientes on-premises
  • Farms híbridos com autenticação federada, onde qualquer identidade corporativa vira potencial vetor

Análise

A entrada da CVE-2026-45659 no KEV se soma a um histórico consistente de falhas do SharePoint transformadas em ferramentas de ransomware. Em julho de 2025, o grupo Storm-2603 usou a cadeia batizada de “ToolShell” para implantar o Warlock ransomware em servidores expostos, e desde então mantém uma rotina de reciclar vulnerabilidades de SharePoint para acesso inicial. A Microsoft já revelou incidentes em que dois atores distintos coabitaram a mesma rede, usando técnicas de living-off-the-land com Velociraptor, túneis Cloudflare e Zoho Assist para dificultar a resposta a incidentes.

O padrão que se desenha é claro: SharePoint on-premises virou porta de entrada preferida para operações de ransomware em grandes empresas, especialmente pela combinação de baixa maturidade de patching em farms internos, forte integração com Active Directory e o valor evidente dos documentos armazenados. O prazo agressivo definido pela CISA — quatro dias — mostra que a agência entende o risco como iminente, não hipotético.

Para o Brasil, o alerta é duplo. A base instalada de SharePoint on-premises em bancos, indústria e órgãos públicos ainda é significativa, e nossa cultura de patching em servidores de colaboração historicamente atrasa em relação a endpoints e perímetro. Além disso, atores de ransomware costumam replicar cadeias validadas pelos EUA em menos de 30 dias, o que estreita a janela útil de correção.

Recomendações práticas

  • Aplicar imediatamente a atualização de segurança de maio de 2026 da Microsoft em todos os farms SharePoint, priorizando servidores expostos à internet
  • Rotacionar as MachineKeys do IIS/SharePoint após o patch — patches sozinhos não invalidam sessões e ViewState previamente coletados
  • Restringir o acesso ao SharePoint via VPN/ZTNA sempre que possível, reduzindo a exposição pública dos endpoints administrativos
  • Habilitar auditoria detalhada e enviar logs do SharePoint (ULS, IIS) para o SIEM, com regras específicas para requisições anômalas a endpoints de desserialização
  • Caçar indicadores de comprometimento associados a Storm-2603 e Warlock: uso de Velociraptor fora do padrão, túneis Cloudflare, novas contas administrativas e o driver “NSecKrnl.sys”
  • Revisar contas com permissão mínima de Site Member — o vetor exige apenas essa autorização e privilégios excessivos ampliam o raio de ação

Fonte: The Hacker News

Social Media Auto Publish Powered By : XYZScripts.com