A CISA adicionou a falha CVE-2026-45659 no Microsoft SharePoint Server ao seu catálogo de vulnerabilidades sob exploração ativa (KEV), com prazo final de correção em 4 de julho de 2026 para órgãos federais dos Estados Unidos. A falha de execução remota de código (RCE), com CVSS 8,8, foi corrigida pela Microsoft em maio — mas segue sendo atacada seis semanas depois porque milhares de empresas ainda não aplicaram o patch.

Resumo e pontos-chave

  • O quê: CVE-2026-45659, RCE por desserialização de dados não confiáveis no SharePoint Server on-premises (CVSS 8,8).
  • Quem corre risco: SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016 não atualizados desde maio de 2026.
  • Como se explora: qualquer usuário autenticado com permissão de Site Member — sem privilégios de administrador.
  • Prazo CISA: órgãos federais tinham até 4 de julho de 2026 para aplicar a correção e fazer triagem forense.
  • O que fazer: atualizar imediatamente para as versões com patch e revisar logs de acesso suspeito.

Como a falha funciona

A vulnerabilidade reside em como o SharePoint Server lida com objetos serializados recebidos pela rede. Quando o servidor “desserializa” um pacote malicioso, executa código arbitrário na máquina — sem interação do usuário e sem exigir privilégios elevados. A Microsoft classificou a complexidade do ataque como Low, o que significa que não é preciso conhecimento profundo do ambiente-alvo e o mesmo payload funciona repetidas vezes contra sistemas vulneráveis.

O detalhe mais perigoso está no requisito de acesso: o atacante precisa apenas de credenciais válidas de um Site Member (PR:L). Não é um administrador. Não é um gestor de TI. É qualquer colaborador com login no portal. Em ambientes corporativos brasileiros, onde SharePoint é usado para intranet, repositórios de contratos e documentação fiscal, esse nível de permissão é concedido por padrão a centenas de funcionários.

A falha foi corrigida pela Microsoft em maio de 2026 nas seguintes versões: SharePoint Server Subscription Edition (build 16.0.19725.20280), SharePoint Server 2019 (build 16.0.10417.20128) e SharePoint Enterprise Server 2016 (build 16.0.5552.1000). Há um detalhe administrativo curioso: o CVE foi omitido por engano da lista oficial de atualizações de maio, mas o patch já estava dentro dos pacotes liberados — quem instalou a atualização do mês já está protegido.

Por que a CISA reagiu tarde

Embora a Microsoft tenha marcado a exploração como “menos provável”, a realidade ditou o contrário. Em 2 de julho de 2026, a CISA adicionou o CVE-2026-45659 ao KEV depois de confirmar ataques reais em campo. A diretiva BOD 26-04 obriga órgãos civis federais dos EUA a corrigir vulnerabilidades listadas num prazo curto — neste caso, 4 de julho de 2026 — e a executar triagem forense para detectar possíveis invasões já ocorridas.

Ou seja: a falha existe há meses, a correção está disponível há semanas, mas só quando o ataque saiu do papel é que virou emergência. Esse padrão é familiar para qualquer equipe de segurança no Brasil. Empresas grandes rodando SharePoint on-premises — bancos, seguradoras, órgãos públicos, indústrias — costumam levar de 30 a 90 dias para aplicar patches em servidores críticos. Foi exatamente essa janela que os atacantes exploraram.

Storm-2603 e o caminho do ransomware

SharePoint virou alvo recorrente de um grupo rastreado pela Microsoft como Storm-2603, associado ao ransomware Warlock. Segundo a equipe de Resposta a Incidentes da Microsoft, esse operador vem explorando vulnerabilidades de desserialização em SharePoint on-premises desde meados de 2025.

O modus operandi é metodicamente ofensivo. Após obter acesso inicial, o Storm-2603 implanta ferramentas legítimas de administração — como Velociraptor — para misturar tráfego malicioso com comportamento considerado confiável. Estabelece múltiplos canais de acesso remoto via Cloudflare Tunneling, Zoho Assist e SSH configurado dentro do Visual Studio Code. Eleva privilégios criando contas de administrador locais e de domínio. E, num toque sofisticado, usa um driver vulnerável chamado “NSecKrnl.sys” para sabotar proteções de endpoint e reduzir a visibilidade do antivírus.

A entrega final acontece por Group Policy Objects (GPO) modificados, que distribuem o ransomware Warlock por toda a rede comprometida. Não há grito, não há tela vermelha imediata — há semanas de persistência silenciosa antes do golpe de misericórdia.

Dois atacantes no mesmo alvo

Em junho de 2026, a Microsoft revelou um caso raro encontrado durante uma investigação de rotina de ransomware: dois atacantes não relacionados operavam simultaneamente dentro da mesma rede. O primeiro era o Storm-2603, mas o segundo usava técnica de DLL side-loading e backdoors customizados para dificultar a atribuição.

A descoberta se estendeu para uma segunda organização, igualmente comprometida pela mesma atividade do Storm-2603 — confirmando que os atacantes haviam se movido lateralmente entre empresas. A conclusão da Microsoft foi direta: “sinais isolados raramente contam a história completa”. Para equipes de resposta a incidentes, isso muda a abordagem. Um único alerta de anomalia no SharePoint pode ser a ponta de um iceberg que atravessa vários ambientes corporativos.

Como verificar e corrigir agora

O primeiro passo é identificar o inventário de servidores SharePoint on-premises expostos — sim, muitos ainda ficam voltados para a internet. A recomendação da CISA é aplicar as correções do vendor imediatamente e, quando o patch não puder ser instalado de imediato, desabilitar temporariamente os serviços afetados para reduzir a superfície de ataque.

  1. Atualize o SharePoint Server para as builds corrigidas (16.0.19725.20280 para SE, 16.0.10417.20128 para 2019, 16.0.5552.1000 para 2016).
  2. Mapeie instâncias expostas à internet e considere colocar SharePoint atrás de VPN ou zerotrust, nunca direto.
  3. Ative MFA para todos os acessos ao SharePoint, especialmente contas de Site Member — o ataque depende de credencial válida.
  4. Revise logs de autenticação dos últimos 90 dias buscando logins de horários incomuns, IPs estranhos e criação de contas administrativas não autorizadas.
  5. Faça triagem forense procurando ferramentas como Velociraptor, túneis Cloudflare, Zoho Assist e SSH configurado via VS Code — sinais clássicos da tática do Storm-2603.
  6. Verifique GPOs em busca de modificações não autorizadas que possam distribuir payloads em massa.

Empresas que usam apenas SharePoint Online (no Microsoft 365) não precisam aplicar patches manualmente — a Microsoft cuida do lado da nuvem. O risco é concentrado em quem mantém SharePoint on-premises, comum em setores regulados do Brasil que exigem soberania de dados, como saúde, finanças e governo.

O padrão que se repete

SharePoint on-premises é um alvo obsessivamente perseguido por atacantes porque combina três ingredientes letais: armazena dados sensíveis da empresa, costuma ser acessível pela rede e tem histórico longo de vulnerabilidades de desserialização. Documentos da Microsoft listam vulnerabilidades críticas dos últimos anos que iam desde RCE sem autenticação até falhas que exigiam privilégios altos — todas exploradas ativamente por estados-nação, operadores de ransomware e corretores de acesso inicial.

A Cybersecurity & Infrastructure Security Agency não inclui falhas no KEV por precaução. A lista é alimentada por evidência concreta de exploração. Se o CVE-2026-45659 está lá, é porque já há vítimas. A pergunta que toda equipe brasileira deveria fazer nesta semana é simples: o servidor SharePoint foi atualizado em maio? Se a resposta é “não sei” ou “estamos programando para o próximo mês”, a janela de risco já está aberta.

Referências