A falha CVE-2026-45659 no Microsoft SharePoint Server permite que qualquer usuário autenticado com permissão mínima de membro de site execute código remotamente no servidor. Corrigida em maio de 2026, já está sob exploração ativa — a agência americana CISA deu apenas três dias às agências federais para aplicar o patch.
Em 1º de julho de 2026, a CISA incluiu a vulnerabilidade no seu catálogo Known Exploited Vulnerabilities (KEV), o que significa que ataques reais já foram confirmados. O prazo para órgãos governamentais americanos expirou em 4 de julho. Para qualquer empresa brasileira que ainda roda SharePoint Server nas próprias instalações, a janela de risco está aberta agora.
O que é a falha CVE-2026-45659
A CVE-2026-45659 é uma vulnerabilidade de execução remota de código (RCE) por desserialização de dados não confiáveis, com pontuação CVSS 8,8. Em termos práticos: o SharePoint reconstrói objetos a partir de dados externos sem validar o conteúdo de forma adequada, e o processamento desses dados termina por executar lógica controlada pelo atacante, segundo a análise do The Hacker News.
A vulnerabilidade afeta três versões do produto: SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016. A Microsoft corrigiu o problema em 12 de maio de 2026, através das atualizações KB5002863, KB5002868 e KB5002870. A correção existe há quase dois meses — e mesmo assim a exploração avança.
| Versão do SharePoint | Patch de correção | Data do patch |
|---|---|---|
| Server Subscription Edition | KB5002863 | 12 de maio de 2026 |
| Server 2019 | KB5002868 | 12 de maio de 2026 |
| Enterprise Server 2016 | KB5002870 | 12 de maio de 2026 |
O detalhe técnico que multiplica o perigo é a complexidade do ataque, classificada como baixa. Não é preciso conhecimento prévio do ambiente-alvo, não há interação do usuário e o exploit, uma vez pronto, é repetível. A barreira de entrada para um operador médio é pequena.
Por que ‘autenticado’ não é proteção
Muitas equipes de TI releem o boletim de maio, viram que a falha exigia autenticação e a rebaixaram na fila de prioridades. Esse raciocínio é perigoso no contexto do SharePoint. A CybelAngel destaca que basta uma conta com privilégio de Site Member — o nível mais básico e comum em intranets corporativas — para detonar o ataque.
Em ambientes com milhares de colaboradores, permissões de membro são distribuídas com generosidade. Some-se a isso o fato de credenciais roubadas circularem livremente em fóruns clandestinos e em dumps de vazamentos, e a exigência de autenticação se torna um obstáculo mínimo para um atacante minimamente financiado. A própria Kaspersky sintetizou o cenário numa frase direta: uma conta de funcionário com poucos privilégios comprometida é tudo o que basta para assumir o controle total de servidores SharePoint on-premise. É a mesma lógica de outras falhas críticas que concedem controle total sem exigir credenciais privilegiadas.
A promessa errada da Microsoft
Antes do patch ser disponibilizado, a Microsoft classificou a exploração da CVE-2026-45659 como “Exploitation Less Likely” — menos provável. A realidade derrubou essa avaliação em pouco mais de seis semanas, conforme registra a análise técnica da hard2bit.
Há um agravante administrativo que explica parte do atraso na adoção do patch. A Microsoft omitiu a CVE-2026-45659 das notas de versão de maio de 2026 e só corrigiu o boletim em 27 de maio. Organizações que revisaram os patches do mês e não encontraram nenhuma CVE do SharePoint podem ter adiado a atualização — e é exatamente essa lacuna que a exploração ativa está atravessando agora.
O caso reforça uma lição dura: avaliações de probabilidade feitas pelo fornecedor não substituem a aplicação do patch. Quando a correção está disponível, o relógio não para de correr só porque o fabricante considera o risco baixo.
O precedente ToolShell de 2025
Para entender a urgência, vale olhar para trás. Em meados de 2025, a cadeia de exploração conhecida como ToolShell — composta pelas falhas CVE-2025-49704, CVE-2025-49706 e pelos desvios CVE-2025-53770 e 53771 — desencadeou uma campanha em massa contra servidores SharePoint on-premise. A Microsoft documentou exploração ativa por três grupos ligados à China: Linen Typhoon, Violet Typhoon e o Storm-2603, este último focado em ransomware.
O Storm-2603 é o ator que mais preocupa agora. Desde meados de 2025, o grupo usa falhas em servidores SharePoint on-premise para implantar o ransomware Warlock, combinando o acesso inicial com técnica de DLL search-order hijacking para esconder a carga maliciosa. A CVE-2026-45659 não abre um problema inédito: ela reativa uma superfície de ataque que nunca foi totalmente fechada.
A lição de 2025 se repete em 2026: o SharePoint on-premise concentra dados sensíveis, senta no coração da identidade corporativa e, quando exposto à internet, oferece uma superfície que operadores de ransomware conhecem bem. O quadro se insere num momento em que o ransomware atingiu a marca de 23 ataques por dia no mundo em 2026.
Dois invasores na mesma rede
Uma investigação de resposta a incidentes conduzida pela própria Microsoft, divulgada no fim de junho, revelou um cenário ainda mais complexo. Durante a análise de um ataque de ransomware, os investigadores encontraram dois atacantes não relacionados operando simultaneamente na mesma rede, usando técnicas deliberadas para estabelecer acesso persistente e dificultar a atribuição.
O acesso inicial do Storm-2603, nesse caso, teria ocorrido por outra vulnerabilidade — a CVE-2025-11371 (CVSS 9,1), que afeta o Gladinet Triofox —, com sondagem por local file inclusion evidenciada por requisições a arquivos como win.ini e web.config. Uma vez dentro, o atacante usou ferramentas legítimas para se camuflar: o Velociraptor para simular comportamento administrativo, túneis do Cloudflare, acesso remoto via Zoho Assist e conexões SSH configuradas pelo Visual Studio Code.
A escalada de privilégios veio com a criação de novas contas de administrador locais e de domínio, enquanto um driver vulnerável chamado “NSecKrnl.sys” adulterava as proteções de endpoint para reduzir a visibilidade da defesa. Os atacantes ainda se moveram lateralmente para uma segunda organização, confirmando que o mesmo grupo comprometeu ambos os alvos. Para equipes de segurança, o recado da Microsoft é claro: sinais isolados quase nunca contam a história completa.
O que fazer imediatamente
Aplicar o patch de maio é essencial, mas insuficiente se o servidor esteve exposto antes da correção. O histórico do ToolShell mostrou que esses atacantes roubam material criptográfico do servidor — as ASP.NET machine keys — para manter acesso persistente mesmo depois do patch aplicado. A correção fecha a porta, mas não remove o invasor que já entrou.
Ações concretas, por ordem de prioridade:
- Aplicar agora os pacotes KB5002863, KB5002868 ou KB5002870, conforme a versão do SharePoint instalada.
- Rotacionar as ASP.NET machine keys de qualquer servidor que possa ter ficado exposto antes do patch — sem isso, o acesso persistente do atacante sobrevive.
- Auditar contas de administrador locais e de domínio criadas recentemente, especialmente contas com nomes genéricos.
- Revisar sessões ativas de ferramentas de acesso remoto legítimas: Cloudflare Tunnel, Zoho Assist, SSH via Visual Studio Code e o agente Velociraptor — abusar de ferramentas RMM é um padrão recorrente, como mostra o caso em que o SimpleHelp foi transformado em alvo de roubo de credenciais.
- Restringir exposição à internet: se o SharePoint on-premise não precisa estar acessível externamente, ele não deveria estar.
- Reforçar autenticação multifator em todas as contas com acesso ao SharePoint, mesmo as de privilégio mínimo.
Impacto para empresas brasileiras
O SharePoint Server on-premise segue amplamente presente em órgãos públicos e em grandes empresas brasileiras — bancos, seguradoras, montadoras e grupos de varejo mantêm instalações próprias por exigência regulatória, soberania de dados ou simples inércia de modernização. Cada servidor exposto à internet é um alvo em potencial para a onda atual de exploração.
A pressão também vem da cadeia de fornecedores. Um parceiro ou prestador com SharePoint desatualizado pode servir de porta de entrada para a rede da contratante, exatamente como ocorreu em incidentes recentes envolvendo vazamentos de dados no Brasil. A vulnerabilidade CVE-2026-45659 se soma a um cenário de ameaças digitais em elevação em 2026, em que ataques exploram falhas já corrigidas simplesmente porque o patch não foi aplicado a tempo.
O recado para quem administra TI é direto: o prazo de três dias dado pela CISA não é uma sugestão burocrática americana. É o reflexo de uma janela de exploração real e ativa. Cada dia adicional sem o patch é um dia em que contas de baixo privilégio — aquelas que ninguém monitora — podem estar sendo usadas para assumir o controle de servidores que guardam boa parte da memória corporativa.
Referências
- The Hacker News — SharePoint RCE CVE-2026-45659 Added to CISA KEV After Active Exploitation
- CybelAngel — CVE-2026-45659: The SharePoint RCE Now on CISA’s KEV List
- hard2bit — CVE-2026-45659: SharePoint on KEV and Warlock ransomware
- SOCRadar — CISA Flags SharePoint RCE (CVE-2026-45659) for Active Exploitation
- IT Briefcase — Top 10 Cybersecurity Stories This Week (July 3, 2026)
- Kaspersky — SharePoint Server vulnerability now exploited in the wild