CEVIU Logo
Voltar
CISA alerta para exploração ativa de falha crítica de RCE no Microsoft SharePoint

CISA alerta para exploração ativa de falha crítica de RCE no Microsoft SharePoint

Aprofundamento CEVIU

Aprofundamento

O SharePoint é uma plataforma de colaboração e gerenciamento de conteúdo da Microsoft, usada por empresas para intranets, portais de documentos e fluxos de trabalho. Ele roda em servidores locais (on-premises), como o SharePoint Server 2016, 2019 e Subscription Edition, e não depende do Azure ou do Microsoft 365 para funcionar. A falha CVE-2026-45659 ocorre durante a desserialização de dados não confiáveis dentro de funcionalidades legítimas do SharePoint, como processamento de formulários ou objetos compartilhados entre usuários autenticados. O ataque não exige privilégios administrativos: basta ser membro de um site (permissão mínima PR:L), o que amplia drasticamente a superfície de ataque, especialmente em ambientes com centenas ou milhares de colaboradores com acesso básico.

Essa vulnerabilidade segue um padrão já visto em outros produtos empresariais: RCE via desserialização em sistemas on-premises com atualizações lentas. Diferente de serviços em nuvem (como SharePoint Online), versões locais exigem correção manual e testes internos antes da aplicação, o que explica por que a CISA impôs prazo rígido de 1 dia (até 4 de julho) para agências federais norte-americanas. A Microsoft classificou a exploração como 'menos provável', mas os dados de campo da CISA desmentem essa avaliação: há evidência concreta de uso em cadeias de ataque reais, inclusive em redes já comprometidas por Storm-2603.

O que mudou

Em abril, a CEVIU noticiou a inclusão no KEV de uma falha de 17 anos no Excel CVE-2009-0238, mostrando que sistemas legados ainda são alvo prioritário. Em junho, a cobertura sobre o Ivanti Sentry CVE-2026-10520 destacou o padrão de exploração acelerada após a publicação de patches, o mesmo que se repete agora com o SharePoint. Mas aqui há uma mudança crítica: enquanto as falhas anteriores exigiam engenharia social (como abertura de arquivo malicioso) ou acesso prévio ao sistema, a CVE-2026-45659 permite RCE diretamente via rede, com apenas credenciais de usuário comum, sem necessidade de interação do alvo. Isso transforma o SharePoint em vetor de ataque lateral mais eficiente do que o Excel ou o Ivanti, especialmente em redes com controle de acesso fraco.

Por que isso importa

Empresas brasileiras que usam SharePoint Server on-premises, especialmente em setores regulados como finanças, saúde e governo, estão em risco imediato. A falha não depende de configuração incomum: afeta instalações padrão com permissões típicas de colaboração. Como a CISA já observou em ataques anteriores (Fortinet, Palo Alto, F5), a exploração ativa dessa vulnerabilidade costuma ser o primeiro passo para implantação de ransomware, roubo de credenciais ou criação de backdoors persistentes. E o caso do Storm-2603 mostra que isso já está acontecendo: o grupo usa SharePoint como porta de entrada para implantar Velociraptor, tunelamento via Cloudflare e até manipulação de drivers de segurança, tudo a partir de um único ponto fraco explorável com acesso mínimo.

Linha do tempo

  1. Microsoft corrige várias falhas zero-day ativamente exploradas no Windows e Office

  2. CISA inclui falha de RCE pré-autenticação no F5 BIG-IP APM no KEV

  3. CISA alerta sobre zero-day crítico na Fortinet FortiClient EMS

  4. CISA adiciona falha de RCE de 2009 no Excel ao KEV

  5. CISA cataloga exploração ativa de bypass de autenticação no Palo Alto GlobalProtect

  6. CISA determina correção em 72h para falha crítica no Ivanti Sentry

  7. CISA inclui CVE-2026-45659 (RCE no SharePoint Server) no KEV com alerta de exploração ativa

Perguntas frequentes

O SharePoint Online (do Microsoft 365) também é afetado pela CVE-2026-45659?

Não. A vulnerabilidade afeta apenas versões on-premises: SharePoint Server Subscription Edition, 2019 e Enterprise 2016. O SharePoint Online é gerenciado pela Microsoft na nuvem e não utiliza o mesmo código-fonte vulnerável.

Como saber se minha instância de SharePoint Server está vulnerável?

Verifique a versão instalada e se o patch de maio de 2026 (KB500XXXXX, conforme boletim MS26-045) foi aplicado. Se estiver rodando SharePoint Server 2016 ou 2019 sem atualização desde maio, está vulnerável. Ferramentas como o Microsoft Baseline Security Analyzer (MBSA) ou scripts PowerShell oficiais podem confirmar.

Por que a CISA impôs prazo de 1 dia para correção, se a falha foi corrigida em maio?

Porque a CISA só inclui vulnerabilidades no KEV quando há evidência de exploração ativa em ambiente real. O prazo curto reflete o risco operacional: redes já comprometidas por Storm-2603 estão usando essa falha para se reinfectar ou expandir para novos segmentos, não é mais teórica, é tática.

Posso mitigar sem aplicar o patch?

Não há mitigação eficaz. Restringir permissões de 'Site Member' quebra funcionalidades essenciais. Desativar recursos de desserialização exigiria modificações profundas no código-fonte, inviável. A única medida válida é aplicar o patch imediatamente.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
03 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser