SharePoint na mira: CVE-2026-45659 entra no KEV da CISA após exploração ativa

A CISA incluiu na quarta-feira a falha CVE-2026-45659 no catálogo Known Exploited Vulnerabilities (KEV), confirmando exploração ativa em ambientes de produção. A vulnerabilidade de execução remota de código (RCE) atinge o Microsoft SharePoint Server, tem CVSS 8.8 e obriga agências federais dos EUA a corrigirem seus sistemas até 4 de julho de 2026 — um prazo de menos de 48 horas após o alerta.

O que aconteceu

A CVE-2026-45659 é uma vulnerabilidade de desserialização de dados não confiáveis em versões suportadas do SharePoint Server, incluindo Subscription Edition, SharePoint Server 2019 e Enterprise Server 2016. A Microsoft publicou correção em maio de 2026 e, à época, classificou a exploração como “menos provável”. Menos de dois meses depois, a agência norte-americana comprovou o oposto: adversários já estão usando a falha para obter execução remota de código em servidores expostos.

De acordo com o aviso publicado pela CISA, um atacante autenticado com permissões mínimas de Site Member (PR:L no CVSS) consegue explorar a falha via rede, sem interação do usuário e sem privilégios de administrador. Essa combinação é particularmente perigosa em ambientes corporativos onde qualquer colaborador com conta ativa pode se tornar vetor de comprometimento, sobretudo em empresas com filiais e credenciais compartilhadas mal higienizadas.

Detalhes da vulnerabilidade

Falhas de desserialização insegura estão entre as classes mais exploradas em servidores SharePoint. Nesse padrão, o servidor aceita objetos serializados vindos do cliente e os reconstrói na memória sem validação estrita, permitindo que um invasor injete gadgets .NET capazes de disparar execução de código arbitrário. A cadeia costuma se apoiar em ViewState, credenciais MachineKey mal geradas ou em endpoints que aceitam dados binários codificados.

Para os defensores, o dado crítico é que a exploração não exige credenciais privilegiadas: basta um usuário comum com acesso a algum site do farm. Isso coloca a superfície de ataque em qualquer intranet corporativa, portal de projetos ou espaço de colaboração de fornecedor — cenários comuns em bancos, governo e grandes indústrias.

“O Microsoft SharePoint Server contém uma vulnerabilidade de desserialização de dados não confiáveis que permite a um atacante autorizado executar código através de uma rede”, registrou a CISA no aviso do KEV.

Quem é afetado

  • SharePoint Server Subscription Edition sem o patch de maio de 2026
  • SharePoint Server 2019 nas builds anteriores à atualização de segurança
  • SharePoint Enterprise Server 2016 em ambientes on-premises
  • Farms híbridos com autenticação federada, onde qualquer identidade corporativa vira potencial vetor

Análise

A entrada da CVE-2026-45659 no KEV se soma a um histórico consistente de falhas do SharePoint transformadas em ferramentas de ransomware. Em julho de 2025, o grupo Storm-2603 usou a cadeia batizada de “ToolShell” para implantar o Warlock ransomware em servidores expostos, e desde então mantém uma rotina de reciclar vulnerabilidades de SharePoint para acesso inicial. A Microsoft já revelou incidentes em que dois atores distintos coabitaram a mesma rede, usando técnicas de living-off-the-land com Velociraptor, túneis Cloudflare e Zoho Assist para dificultar a resposta a incidentes.

O padrão que se desenha é claro: SharePoint on-premises virou porta de entrada preferida para operações de ransomware em grandes empresas, especialmente pela combinação de baixa maturidade de patching em farms internos, forte integração com Active Directory e o valor evidente dos documentos armazenados. O prazo agressivo definido pela CISA — quatro dias — mostra que a agência entende o risco como iminente, não hipotético.

Para o Brasil, o alerta é duplo. A base instalada de SharePoint on-premises em bancos, indústria e órgãos públicos ainda é significativa, e nossa cultura de patching em servidores de colaboração historicamente atrasa em relação a endpoints e perímetro. Além disso, atores de ransomware costumam replicar cadeias validadas pelos EUA em menos de 30 dias, o que estreita a janela útil de correção.

Recomendações práticas

  • Aplicar imediatamente a atualização de segurança de maio de 2026 da Microsoft em todos os farms SharePoint, priorizando servidores expostos à internet
  • Rotacionar as MachineKeys do IIS/SharePoint após o patch — patches sozinhos não invalidam sessões e ViewState previamente coletados
  • Restringir o acesso ao SharePoint via VPN/ZTNA sempre que possível, reduzindo a exposição pública dos endpoints administrativos
  • Habilitar auditoria detalhada e enviar logs do SharePoint (ULS, IIS) para o SIEM, com regras específicas para requisições anômalas a endpoints de desserialização
  • Caçar indicadores de comprometimento associados a Storm-2603 e Warlock: uso de Velociraptor fora do padrão, túneis Cloudflare, novas contas administrativas e o driver “NSecKrnl.sys”
  • Revisar contas com permissão mínima de Site Member — o vetor exige apenas essa autorização e privilégios excessivos ampliam o raio de ação

Fonte: The Hacker News

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

BioShocking: pesquisadores enganam navegadores agênticos (ChatGPT Atlas, Comet, Claude Chrome) e extraem credenciais

LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…

6 horas ago

Scattered Spider: suposto membro Peter Stokes é extraditado aos EUA por ataque a varejista de joias

Peter Stokes, 19 anos, com dupla cidadania EUA/Estônia, foi extraditado da Finlândia para Chicago sob…

6 horas ago

Citrix corrige seis falhas no NetScaler, incluindo nova CitrixBleed (CVE-2026-8451) e HTTP/2 Bomb descoberto pelo Codex

Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…

1 dia ago

Nissan confirma vazamento de dados de funcionários após zero-day CVE-2026-35273 no Oracle PeopleSoft

Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…

1 dia ago

DeepSeek gera ransomware que roda dentro do Chrome e criptografa arquivos via File System Access API

Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…

1 dia ago

Vazamento da Aflac Japão atinge 4,38 milhões de clientes após dez dias de acesso indevido ao portal de apólices

A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…

2 dias ago