A CISA incluiu na quarta-feira a falha CVE-2026-45659 no catálogo Known Exploited Vulnerabilities (KEV), confirmando exploração ativa em ambientes de produção. A vulnerabilidade de execução remota de código (RCE) atinge o Microsoft SharePoint Server, tem CVSS 8.8 e obriga agências federais dos EUA a corrigirem seus sistemas até 4 de julho de 2026 — um prazo de menos de 48 horas após o alerta.
A CVE-2026-45659 é uma vulnerabilidade de desserialização de dados não confiáveis em versões suportadas do SharePoint Server, incluindo Subscription Edition, SharePoint Server 2019 e Enterprise Server 2016. A Microsoft publicou correção em maio de 2026 e, à época, classificou a exploração como “menos provável”. Menos de dois meses depois, a agência norte-americana comprovou o oposto: adversários já estão usando a falha para obter execução remota de código em servidores expostos.
De acordo com o aviso publicado pela CISA, um atacante autenticado com permissões mínimas de Site Member (PR:L no CVSS) consegue explorar a falha via rede, sem interação do usuário e sem privilégios de administrador. Essa combinação é particularmente perigosa em ambientes corporativos onde qualquer colaborador com conta ativa pode se tornar vetor de comprometimento, sobretudo em empresas com filiais e credenciais compartilhadas mal higienizadas.
Falhas de desserialização insegura estão entre as classes mais exploradas em servidores SharePoint. Nesse padrão, o servidor aceita objetos serializados vindos do cliente e os reconstrói na memória sem validação estrita, permitindo que um invasor injete gadgets .NET capazes de disparar execução de código arbitrário. A cadeia costuma se apoiar em ViewState, credenciais MachineKey mal geradas ou em endpoints que aceitam dados binários codificados.
Para os defensores, o dado crítico é que a exploração não exige credenciais privilegiadas: basta um usuário comum com acesso a algum site do farm. Isso coloca a superfície de ataque em qualquer intranet corporativa, portal de projetos ou espaço de colaboração de fornecedor — cenários comuns em bancos, governo e grandes indústrias.
“O Microsoft SharePoint Server contém uma vulnerabilidade de desserialização de dados não confiáveis que permite a um atacante autorizado executar código através de uma rede”, registrou a CISA no aviso do KEV.
A entrada da CVE-2026-45659 no KEV se soma a um histórico consistente de falhas do SharePoint transformadas em ferramentas de ransomware. Em julho de 2025, o grupo Storm-2603 usou a cadeia batizada de “ToolShell” para implantar o Warlock ransomware em servidores expostos, e desde então mantém uma rotina de reciclar vulnerabilidades de SharePoint para acesso inicial. A Microsoft já revelou incidentes em que dois atores distintos coabitaram a mesma rede, usando técnicas de living-off-the-land com Velociraptor, túneis Cloudflare e Zoho Assist para dificultar a resposta a incidentes.
O padrão que se desenha é claro: SharePoint on-premises virou porta de entrada preferida para operações de ransomware em grandes empresas, especialmente pela combinação de baixa maturidade de patching em farms internos, forte integração com Active Directory e o valor evidente dos documentos armazenados. O prazo agressivo definido pela CISA — quatro dias — mostra que a agência entende o risco como iminente, não hipotético.
Para o Brasil, o alerta é duplo. A base instalada de SharePoint on-premises em bancos, indústria e órgãos públicos ainda é significativa, e nossa cultura de patching em servidores de colaboração historicamente atrasa em relação a endpoints e perímetro. Além disso, atores de ransomware costumam replicar cadeias validadas pelos EUA em menos de 30 dias, o que estreita a janela útil de correção.
Fonte: The Hacker News
LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…
Peter Stokes, 19 anos, com dupla cidadania EUA/Estônia, foi extraditado da Finlândia para Chicago sob…
Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…
Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…
Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…
A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…