A CISA adicionou a falha CVE-2026-45659 no Microsoft SharePoint Server ao seu catálogo de vulnerabilidades sob exploração ativa (KEV), com prazo final de correção em 4 de julho de 2026 para órgãos federais dos Estados Unidos. A falha de execução remota de código (RCE), com CVSS 8,8, foi corrigida pela Microsoft em maio — mas segue sendo atacada seis semanas depois porque milhares de empresas ainda não aplicaram o patch.
Resumo e pontos-chave
- O quê: CVE-2026-45659, RCE por desserialização de dados não confiáveis no SharePoint Server on-premises (CVSS 8,8).
- Quem corre risco: SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016 não atualizados desde maio de 2026.
- Como se explora: qualquer usuário autenticado com permissão de Site Member — sem privilégios de administrador.
- Prazo CISA: órgãos federais tinham até 4 de julho de 2026 para aplicar a correção e fazer triagem forense.
- O que fazer: atualizar imediatamente para as versões com patch e revisar logs de acesso suspeito.
Como a falha funciona
A vulnerabilidade reside em como o SharePoint Server lida com objetos serializados recebidos pela rede. Quando o servidor “desserializa” um pacote malicioso, executa código arbitrário na máquina — sem interação do usuário e sem exigir privilégios elevados. A Microsoft classificou a complexidade do ataque como Low, o que significa que não é preciso conhecimento profundo do ambiente-alvo e o mesmo payload funciona repetidas vezes contra sistemas vulneráveis.
O detalhe mais perigoso está no requisito de acesso: o atacante precisa apenas de credenciais válidas de um Site Member (PR:L). Não é um administrador. Não é um gestor de TI. É qualquer colaborador com login no portal. Em ambientes corporativos brasileiros, onde SharePoint é usado para intranet, repositórios de contratos e documentação fiscal, esse nível de permissão é concedido por padrão a centenas de funcionários.
A falha foi corrigida pela Microsoft em maio de 2026 nas seguintes versões: SharePoint Server Subscription Edition (build 16.0.19725.20280), SharePoint Server 2019 (build 16.0.10417.20128) e SharePoint Enterprise Server 2016 (build 16.0.5552.1000). Há um detalhe administrativo curioso: o CVE foi omitido por engano da lista oficial de atualizações de maio, mas o patch já estava dentro dos pacotes liberados — quem instalou a atualização do mês já está protegido.
Por que a CISA reagiu tarde
Embora a Microsoft tenha marcado a exploração como “menos provável”, a realidade ditou o contrário. Em 2 de julho de 2026, a CISA adicionou o CVE-2026-45659 ao KEV depois de confirmar ataques reais em campo. A diretiva BOD 26-04 obriga órgãos civis federais dos EUA a corrigir vulnerabilidades listadas num prazo curto — neste caso, 4 de julho de 2026 — e a executar triagem forense para detectar possíveis invasões já ocorridas.
Ou seja: a falha existe há meses, a correção está disponível há semanas, mas só quando o ataque saiu do papel é que virou emergência. Esse padrão é familiar para qualquer equipe de segurança no Brasil. Empresas grandes rodando SharePoint on-premises — bancos, seguradoras, órgãos públicos, indústrias — costumam levar de 30 a 90 dias para aplicar patches em servidores críticos. Foi exatamente essa janela que os atacantes exploraram.
Storm-2603 e o caminho do ransomware
SharePoint virou alvo recorrente de um grupo rastreado pela Microsoft como Storm-2603, associado ao ransomware Warlock. Segundo a equipe de Resposta a Incidentes da Microsoft, esse operador vem explorando vulnerabilidades de desserialização em SharePoint on-premises desde meados de 2025.
O modus operandi é metodicamente ofensivo. Após obter acesso inicial, o Storm-2603 implanta ferramentas legítimas de administração — como Velociraptor — para misturar tráfego malicioso com comportamento considerado confiável. Estabelece múltiplos canais de acesso remoto via Cloudflare Tunneling, Zoho Assist e SSH configurado dentro do Visual Studio Code. Eleva privilégios criando contas de administrador locais e de domínio. E, num toque sofisticado, usa um driver vulnerável chamado “NSecKrnl.sys” para sabotar proteções de endpoint e reduzir a visibilidade do antivírus.
A entrega final acontece por Group Policy Objects (GPO) modificados, que distribuem o ransomware Warlock por toda a rede comprometida. Não há grito, não há tela vermelha imediata — há semanas de persistência silenciosa antes do golpe de misericórdia.
Dois atacantes no mesmo alvo
Em junho de 2026, a Microsoft revelou um caso raro encontrado durante uma investigação de rotina de ransomware: dois atacantes não relacionados operavam simultaneamente dentro da mesma rede. O primeiro era o Storm-2603, mas o segundo usava técnica de DLL side-loading e backdoors customizados para dificultar a atribuição.
A descoberta se estendeu para uma segunda organização, igualmente comprometida pela mesma atividade do Storm-2603 — confirmando que os atacantes haviam se movido lateralmente entre empresas. A conclusão da Microsoft foi direta: “sinais isolados raramente contam a história completa”. Para equipes de resposta a incidentes, isso muda a abordagem. Um único alerta de anomalia no SharePoint pode ser a ponta de um iceberg que atravessa vários ambientes corporativos.
Como verificar e corrigir agora
O primeiro passo é identificar o inventário de servidores SharePoint on-premises expostos — sim, muitos ainda ficam voltados para a internet. A recomendação da CISA é aplicar as correções do vendor imediatamente e, quando o patch não puder ser instalado de imediato, desabilitar temporariamente os serviços afetados para reduzir a superfície de ataque.
- Atualize o SharePoint Server para as builds corrigidas (16.0.19725.20280 para SE, 16.0.10417.20128 para 2019, 16.0.5552.1000 para 2016).
- Mapeie instâncias expostas à internet e considere colocar SharePoint atrás de VPN ou zerotrust, nunca direto.
- Ative MFA para todos os acessos ao SharePoint, especialmente contas de Site Member — o ataque depende de credencial válida.
- Revise logs de autenticação dos últimos 90 dias buscando logins de horários incomuns, IPs estranhos e criação de contas administrativas não autorizadas.
- Faça triagem forense procurando ferramentas como Velociraptor, túneis Cloudflare, Zoho Assist e SSH configurado via VS Code — sinais clássicos da tática do Storm-2603.
- Verifique GPOs em busca de modificações não autorizadas que possam distribuir payloads em massa.
Empresas que usam apenas SharePoint Online (no Microsoft 365) não precisam aplicar patches manualmente — a Microsoft cuida do lado da nuvem. O risco é concentrado em quem mantém SharePoint on-premises, comum em setores regulados do Brasil que exigem soberania de dados, como saúde, finanças e governo.
O padrão que se repete
SharePoint on-premises é um alvo obsessivamente perseguido por atacantes porque combina três ingredientes letais: armazena dados sensíveis da empresa, costuma ser acessível pela rede e tem histórico longo de vulnerabilidades de desserialização. Documentos da Microsoft listam vulnerabilidades críticas dos últimos anos que iam desde RCE sem autenticação até falhas que exigiam privilégios altos — todas exploradas ativamente por estados-nação, operadores de ransomware e corretores de acesso inicial.
A Cybersecurity & Infrastructure Security Agency não inclui falhas no KEV por precaução. A lista é alimentada por evidência concreta de exploração. Se o CVE-2026-45659 está lá, é porque já há vítimas. A pergunta que toda equipe brasileira deveria fazer nesta semana é simples: o servidor SharePoint foi atualizado em maio? Se a resposta é “não sei” ou “estamos programando para o próximo mês”, a janela de risco já está aberta.
Referências
- The Hacker News — SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation
- GBHackers On Security — CISA Adds Actively Exploited Microsoft SharePoint Vulnerability to KEV Catalog
- Help Net Security — High-severity SharePoint RCE bug patched by Microsoft (CVE-2026-45659)
- CybelAngel — CVE-2026-45659: 4 Things to Know About the SharePoint RCE on CISA KEV
- Microsoft Security Blog — Disrupting active exploitation of on-premises SharePoint vulnerabilities