A CISA adicionou a falha CVE-2026-45659 ao seu catálogo de vulnerabilidades em exploração ativa (KEV) no dia 1 de julho de 2026. Trata-se de uma falha de execução remota de código (RCE) no Microsoft SharePoint Server local, com CVSS 8,8, corrigida em maio mas esquecida do aviso oficial da Microsoft. Mais de 10 mil servidores seguem expostos na internet, segundo o Shadowserver, e o atacante precisa apenas de uma conta comum de colaborador para invadir.

Pontos-chave

  • CVE: CVE-2026-45659 — RCE por desserialização de dados não confiáveis no SharePoint Server local (CVSS 8,8).
  • Status: CISA confirmou exploração ativa e incluiu a falha no KEV em 1 de julho de 2026, com prazo de correção de 3 dias para agências federais americanas.
  • Privilégio necessário: apenas permissão de “Membro do Site” — sem privilégios de administrador.
  • Versões afetadas: SharePoint Server 2016, 2019 e Subscription Edition (não afeta o SharePoint Online).
  • Exposição global: mais de 10 mil instâncias com patch desconhecido detectadas pelo Shadowserver.

O que é a CVE-2026-45659

A CVE-2026-45659 é uma vulnerabilidade de desserialização de dados não confiáveis (classificada como CWE-502) que afeta o Microsoft SharePoint Server instalado localmente. Na prática, o servidor pode ser induzido a processar objetos serializados controlados pelo atacante, o que resulta em execução arbitrária de código na máquina. A falha carrega nota CVSS 8,8 e é alcançável pela rede, sem exigir qualquer interação do usuário, conforme detalhou a SOCRadar.

O problema não atinge o SharePoint Online, serviço em nuvem da Microsoft, mas sim as versões on-premises que milhares de organizações mantêm em data centers próprios ou contratados. As versões impactadas são o SharePoint Enterprise Server 2016, o SharePoint Server 2019 e o SharePoint Server Subscription Edition.

A correção já havia sido entregue no Patch Tuesday de maio de 2026, nos pacotes KB5002863 (Subscription Edition), KB5002870 (Server 2019) e KB5002868 (Server 2016). O problema, como veremos, é que quase ninguém soube priorizá-la a tempo.

O aviso que a Microsoft esqueceu

O detalhe mais revelador desta história é administrativo. A Microsoft corrigiu a falha em maio, mas omitiu a CVE do texto oficial do boletim de segurança daquele mês. Só corrigiu o aviso no dia 27 de maio, quase duas semanas depois, segundo a CybelAngel.

Para equipes que gerenciam atualizações por número de CVE — prática comum em ambientes com backlogs enormes — a falha simplesmente não existia no radar. Quem aplicou o pacote cumulativo de maio inteiro está protegido; quem filtra patches pela lista de CVEs divulgada provavelmente ignorou a correção. Essa lacuna de comunicação é exatamente o espaço por onde a exploração avançou nas semanas seguintes.

A Microsoft havia classificado a probabilidade de exploração como “menos provável” quando o patch foi lançado. A confirmação da CISA de que há ataques reais em curso mostrou que essa avaliação estava equivocada.

Bastam permissões de colaborador

O pré-requisito de exploração é o que torna essa falha particularmente perigosa. O atacante não precisa de privilégios administrativos nem de contas de serviço privilegiadas. Basta uma conta autenticada com permissão de “Membro do Site” — o nível padrão concedido à maioria dos funcionários em implantações corporativas do SharePoint.

Segundo a análise da DIESEC, a cadeia de ataque realista é direta: obter credenciais válidas por phishing, infecção por infostealer ou reuso de senhas vazadas; autenticar como Membro do Site; enviar um payload de desserialização manipulado e alcançar execução remota de código no servidor.

A partir dali, o atacante costuma implantar webshells para acesso persistente, mover-se lateralmente pela rede corporativa, exfiltrar documentos e configurações e, em campanhas de ransomware, preparar os dados antes da cifragem. Como o SharePoint costuma ficar central no gerenciamento de documentos e frequentemente acessível pela internet, ele virou alvo recorrente de initial access brokers e operadores de ransomware.

Versão do SharePoint Build corrigida Pacote (KB)
Enterprise Server 2016 16.0.5552.1002 ou superior KB5002868
Server 2019 16.0.10417.20128 ou superior KB5002870
Server Subscription Edition 16.0.19725.20280 ou superior KB5002863

SharePoint virou alvo sistemático em 2026

A CVE-2026-45659 não é um caso isolado. É a terceira vulnerabilidade do SharePoint confirmada em exploração ativa somente em 2026, conforme apontou a CybelAngel. A CVE-2026-20963 entrou no KEV em 18 de março e exigia ainda menos — nenhuma autenticação. A CVE-2026-32201, falha de falsificação de identidade, foi confirmada como explorada em maio.

O padrão é claro: o intervalo entre o lançamento do patch e a exploração confirmada encolheu drasticamente. Quem ainda trata SharePoint como “aquela ferramenta interna que ninguém atualiza” está operando com uma janela de risco cada vez maior.

O histórico reforça a gravidade. Em julho de 2025, o grupo chinês Storm-2603 usou outra cadeia de falhas do SharePoint (a chamada “ToolShell”) para implantar ransomware Warlock e LockBit em servidores desatualizados, conforme reportou o BleepingComputer. Aquele ataque comprometeu o Departamento de Energia dos Estados Unidos, incluindo a agência responsável pelo arsenal nuclear do país. O SharePoint provou, mais de uma vez, que pode ser a porta de entrada para consequências graves.

Impacto para empresas brasileiras e LGPD

No Brasil, o SharePoint on-premises é presença constante em empresas de médio e grande porte, especialmente em setores como governo, saúde, educação e indústria. Muitas dessas organizações concentram documentos sensíveis — contratos, dados de clientes, informações de recursos humanos — em fazendas internas do SharePoint que raramente recebem a mesma atenção de correção dada a firewalls e servidores voltados para a internet.

O cenário tem implicações diretas para a Lei Geral de Proteção de Dados (LGPD). Uma invasão que resulte em exfiltração de dados pessoais configura incidente de segurança notificável junto à ANPD (Autoridade Nacional de Proteção de Dados), que deve ser comunicada em prazo razoável. A baixa barreira de privilégios da CVE-2026-45659 significa que uma única credencial vazada, obtida por phishing ou em um vazamento de senhas, pode ser suficiente para comprometer toda a fazenda de documentos.

O custo de resposta a um incidente desse tipo — comunicação aos titulares, investigação forense, eventual sanção regulatória e dano reputacional — tende a superar em muito o esforço de aplicar uma atualização acumulada.

O que fazer agora

  1. Atualize imediatamente. Aplique o pacote acumulado de maio de 2026 (KB5002863, KB5002870 ou KB5002868, conforme a versão). Não confie apenas em “atualização de maio aplicada” — confira o número de build exato.
  2. Verifique os números de build. No SharePoint Central Administration, valide que cada servidor da fazenda está na build corrigida ou superior. Em fazendas multi-server, confira todos os hosts, não apenas o front-end.
  3. Audite permissões de Membro do Site. Revise contas de contratados, contas de serviço e contas legadas. Cada uma é um ponto de entrada potencial. Reduza o escopo ou desative o que não for necessário.
  4. Hunte por indicadores de comprometimento. Mesmo já corrigido, monitore processos do pool de aplicativos (w3wp.exe) gerando processos filhos inesperados como cmd.exe ou powershell.exe, e revise logs do IIS e do SharePoint (ULS) por erros de desserialização anômalos.
  5. Revise o processo de gestão de patches. Se sua equipe rastreia correções por número de CVE em vez de por versão de pacote acumulado, trate essa lacuna como um achado de auditoria. Provavelmente não será a última vulnerabilidade omitida de um boletim oficial.

Referências