CISA alerta para exploração ativa de falha crítica de RCE no Microsoft SharePoint
Aprofundamento CEVIU
Aprofundamento
O SharePoint é uma plataforma de colaboração e gerenciamento de conteúdo da Microsoft, usada por empresas para intranets, portais de documentos e fluxos de trabalho. Ele roda em servidores locais (on-premises), como o SharePoint Server 2016, 2019 e Subscription Edition, e não depende do Azure ou do Microsoft 365 para funcionar. A falha CVE-2026-45659 ocorre durante a desserialização de dados não confiáveis dentro de funcionalidades legítimas do SharePoint, como processamento de formulários ou objetos compartilhados entre usuários autenticados. O ataque não exige privilégios administrativos: basta ser membro de um site (permissão mínima PR:L), o que amplia drasticamente a superfície de ataque, especialmente em ambientes com centenas ou milhares de colaboradores com acesso básico.
Essa vulnerabilidade segue um padrão já visto em outros produtos empresariais: RCE via desserialização em sistemas on-premises com atualizações lentas. Diferente de serviços em nuvem (como SharePoint Online), versões locais exigem correção manual e testes internos antes da aplicação, o que explica por que a CISA impôs prazo rígido de 1 dia (até 4 de julho) para agências federais norte-americanas. A Microsoft classificou a exploração como 'menos provável', mas os dados de campo da CISA desmentem essa avaliação: há evidência concreta de uso em cadeias de ataque reais, inclusive em redes já comprometidas por Storm-2603.
O que mudou
Em abril, a CEVIU noticiou a inclusão no KEV de uma falha de 17 anos no Excel CVE-2009-0238, mostrando que sistemas legados ainda são alvo prioritário. Em junho, a cobertura sobre o Ivanti Sentry CVE-2026-10520 destacou o padrão de exploração acelerada após a publicação de patches, o mesmo que se repete agora com o SharePoint. Mas aqui há uma mudança crítica: enquanto as falhas anteriores exigiam engenharia social (como abertura de arquivo malicioso) ou acesso prévio ao sistema, a CVE-2026-45659 permite RCE diretamente via rede, com apenas credenciais de usuário comum, sem necessidade de interação do alvo. Isso transforma o SharePoint em vetor de ataque lateral mais eficiente do que o Excel ou o Ivanti, especialmente em redes com controle de acesso fraco.
Por que isso importa
Empresas brasileiras que usam SharePoint Server on-premises, especialmente em setores regulados como finanças, saúde e governo, estão em risco imediato. A falha não depende de configuração incomum: afeta instalações padrão com permissões típicas de colaboração. Como a CISA já observou em ataques anteriores (Fortinet, Palo Alto, F5), a exploração ativa dessa vulnerabilidade costuma ser o primeiro passo para implantação de ransomware, roubo de credenciais ou criação de backdoors persistentes. E o caso do Storm-2603 mostra que isso já está acontecendo: o grupo usa SharePoint como porta de entrada para implantar Velociraptor, tunelamento via Cloudflare e até manipulação de drivers de segurança, tudo a partir de um único ponto fraco explorável com acesso mínimo.
Linha do tempo
Microsoft corrige várias falhas zero-day ativamente exploradas no Windows e Office
CISA inclui falha de RCE pré-autenticação no F5 BIG-IP APM no KEV
CISA alerta sobre zero-day crítico na Fortinet FortiClient EMS
CISA adiciona falha de RCE de 2009 no Excel ao KEV
CISA cataloga exploração ativa de bypass de autenticação no Palo Alto GlobalProtect
CISA determina correção em 72h para falha crítica no Ivanti Sentry
CISA inclui CVE-2026-45659 (RCE no SharePoint Server) no KEV com alerta de exploração ativa
Perguntas frequentes
O SharePoint Online (do Microsoft 365) também é afetado pela CVE-2026-45659?
Não. A vulnerabilidade afeta apenas versões on-premises: SharePoint Server Subscription Edition, 2019 e Enterprise 2016. O SharePoint Online é gerenciado pela Microsoft na nuvem e não utiliza o mesmo código-fonte vulnerável.
Como saber se minha instância de SharePoint Server está vulnerável?
Verifique a versão instalada e se o patch de maio de 2026 (KB500XXXXX, conforme boletim MS26-045) foi aplicado. Se estiver rodando SharePoint Server 2016 ou 2019 sem atualização desde maio, está vulnerável. Ferramentas como o Microsoft Baseline Security Analyzer (MBSA) ou scripts PowerShell oficiais podem confirmar.
Por que a CISA impôs prazo de 1 dia para correção, se a falha foi corrigida em maio?
Porque a CISA só inclui vulnerabilidades no KEV quando há evidência de exploração ativa em ambiente real. O prazo curto reflete o risco operacional: redes já comprometidas por Storm-2603 estão usando essa falha para se reinfectar ou expandir para novos segmentos, não é mais teórica, é tática.
Posso mitigar sem aplicar o patch?
Não há mitigação eficaz. Restringir permissões de 'Site Member' quebra funcionalidades essenciais. Desativar recursos de desserialização exigiria modificações profundas no código-fonte, inviável. A única medida válida é aplicar o patch imediatamente.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

