A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) adicionou, em 1º de julho de 2026, a vulnerabilidade do SharePoint CVE-2026-45659 à sua lista de falhas conhecidas em exploração ativa. A falha de execução remota de código, com gravidade alta (CVSS 8,8), permite que atacantes autenticados com privilégios mínimos executem código arbitrário em servidores locais não corrigidos da Microsoft.
O que aconteceu
A CISA incluiu a vulnerabilidade do SharePoint CVE-2026-45659 no Known Exploited Vulnerabilities (KEV) catalog após detectar evidências de ataques reais em andamento. A entrada foi publicada na quarta-feira, 1º de julho de 2026, conforme registraram The Hacker News e The Register. A falha já havia sido corrigida pela Microsoft em maio de 2026, mas servidores que não aplicaram a atualização continuam expostos.
Embora a Microsoft tenha classificado originalmente a exploração como “menos provável”, a realidade mostrou o oposto. “O SharePoint Server contém uma vulnerabilidade de desserialização de dados não confiáveis que permite a um atacante autorizado executar código pela rede”, declarou a CISA em seu catálogo. A orientação às agências federais é direta: aplicar as correções até 4 de julho de 2026.
Como funciona a falha
A falha é uma vulnerabilidade de desserialização insegura de dados não confiáveis. Em termos práticos, o SharePoint processa dados formatados de forma maliciosa enviados por um atacante e, ao reconstruir esses objetos na memória, executa código arbitrário no servidor. O vetor é remoto, baseado em rede, de baixa complexidade e não exige interação do usuário, segundo a Microsoft.
O detalhe mais crítico está nos privilégios exigidos. Diferente de outras brechas famosas do SharePoint, esta não é pré-autenticação — mas o atacante precisa de pouquíssimo. Basta uma conta válida com permissão de Site Member, o nível mais baixo de acesso colaborativo da plataforma. “Qualquer atacante autenticado pode acionar a vulnerabilidade. Não são necessários privilégios de administrador”, alertou a Microsoft em seu advisory.
Versões afetadas pela brecha
| Produto | Vulnerabilidade | CVSS | Correção |
|---|---|---|---|
| SharePoint Server Subscription Edition | CVE-2026-45659 | 8,8 (Alta) | Maio de 2026 |
| SharePoint Server 2019 | CVE-2026-45659 | 8,8 (Alta) | Maio de 2026 |
| SharePoint Enterprise Server 2016 | CVE-2026-45659 | 8,8 (Alta) | Maio de 2026 |
Cronologia do incidente
- Maio de 2026 — A Microsoft lança correções para o CVE-2026-45659 nas versões suportadas do SharePoint Server e classifica a exploração como “menos provável”.
- Final de junho de 2026 — A Microsoft revela investigação de ransomware que expôs dois grupos de ataque atuando simultaneamente, incluindo o ator Storm-2603, ligado ao ransomware Warlock e a exploração de falhas do SharePoint desde meados de 2025.
- 1º de julho de 2026 — A CISA adiciona o CVE-2026-45659 ao catálogo KEV após confirmar exploração ativa na natureza.
- 4 de julho de 2026 — Prazo final para que agências federais dos EUA apliquem as correções obrigatórias.
Risco de ransomware cresce
A inclusão no KEV não é um alarme isolado. A Microsoft vinha documentando atividade preocupante em torno de servidores SharePoint locais. Em uma investigação de ransomware divulgada no final de junho, a equipe de Resposta a Incidentes da empresa descreveu dois grupos de ameaça não relacionados operando ao mesmo tempo dentro de uma mesma rede, com técnicas deliberadas para dificultar a atribuição e a resposta.
Um dos clusters foi atribuído ao Storm-2603, ator conhecido por implantar o ransomware Warlock após explorar vulnerabilidades conhecidas em servidores SharePoint locais desde meados de 2025. Após obter acesso inicial, o grupo usou ferramentas legítimas como o Velociraptor para se camuflar, criou túneis de acesso remoto via Cloudflare, Zoho Assist e SSH pelo Visual Studio Code, e escalou privilégios criando novas contas de administrador. Um driver vulnerável (NSecKrnl.sys) serviu para neutralizar proteções de endpoint.
“O que parece ser um único incidente de ransomware pode rapidamente se expandir em algo mais complexo — atravessando organizações, misturando táticas e envolvendo múltiplos atores operando em paralelo”, resumiu a equipe da Microsoft.
Como se proteger agora
A orientação é aplicar imediatamente as atualizações de maio de 2026 para todas as versões suportadas do SharePoint Server. Equipes de segurança devem priorizar instâncias locais voltadas à internet e auditar contas com permissão de Site Member, já que esse é o único requisito para a exploração. A revisão de logs em busca de sondagem por arquivos como web.config e win.ini ajuda a identificar tentativas de inclusão de arquivo local.
A CISA reforça que falhas de desserialização são vetores recorrentes de ransomware e exigem remediação sem atraso. Organizações que adiam o patch além do prazo ampliam a janela para movimentação lateral, roubo de credenciais e implantação de cargas maliciosas — exatamente o padrão observado nos ataques atribuídos ao Storm-2603.
Fontes
- The Hacker News — SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation
- The Register — Microsoft said exploitation was ‘less likely’… but CISA just added SharePoint RCE to KEV list
- SecurityWeek — CISA Warns of Actively Exploited Microsoft SharePoint Vulnerability
- BleepingComputer — CISA: Microsoft SharePoint RCE flaw now actively exploited
- Security Online — Actively Exploited SharePoint Vulnerability Added to CISA KEV Catalog
- CISA — Known Exploited Vulnerabilities Catalog