
A falha CVE-2026-58644, explorada como zero-day, permite injeção de código por atacantes autenticados e já foi utilizada para comprometer servidores on-premises através de técnicas de desserialização.
| Componente | Microsoft SharePoint Server (Subscription Edition, 2019 e 2016) |
| Vetor | Desserialização de dados não confiáveis explorada via rede por atacante autenticado como Site Owner |
| Impacto | Execução Remota de Código (RCE), roubo de chaves de máquina do IIS, persistência e implantação de malware |
| Prioridade | Aplicação de patch até 19 de julho de 2026, habilitação de AMSI e restrição de acesso externo ao Central Administration |
A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) adicionou recentemente uma falha de segurança recém-corrigida no Microsoft SharePoint Server ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A decisão impõe um prazo obrigatório para que agências executivas civis federais (FCEB) apliquem as correções até 19 de julho de 2026, reforçando a gravidade da ameaça. A vulnerabilidade, identificada como CVE-2026-58644, recebeu uma pontuação CVSS de 9.8, classificada como crítica, devido à sua capacidade de permitir a execução arbitrária de código em sistemas vulneráveis.
A falha é caracterizada tecnicamente como um problema de desserialização de dados não confiáveis. De acordo com o advisory publicado pela Microsoft, a exploração ocorre em um contexto de ataque baseado em rede, onde um adversário autenticado com, no mínimo, o privilégio de Proprietário do Site (Site Owner), pode escrever código arbitrário para injetar e executar comandos remotamente no servidor SharePoint. A Microsoft ressaltou que a vulnerabilidade é explorável remotamente pela internet e que a complexidade do ataque é baixa, pois o adversário não requer conhecimento aprofundado prévio do sistema e pode alcançar sucesso repetível com o payload contra o componente afetado.
As correções para essa falha foram disponibilizadas como parte das atualizações do Patch Tuesday lançadas em 14 de julho de 2026. Posteriormente, a Microsoft revisou seu boletim para esclarecer que a CVE-2026-58644 já havia sido explorada ativamente no ambiente selvagem (in the wild), o que significa que a deficiência foi transformada em arma como um zero-day antes que as correções ficassem disponíveis para o público geral. Essa descoberta coincide com alertas anteriores da CISA sobre exploração ativa de múltiplas vulnerabilidades no SharePoint Server que poderiam permitir que atores de ameaças ganhassem acesso não autorizado a instâncias locais (on-premises).
O mecanismo de exploração da CVE-2026-58644 centra-se na falha de desserialização. Em aplicações.NET, como o SharePoint, a desserialização é o processo de reconstruir objetos a partir de um formato de transmissão, como XML ou JSON. Quando dados não confiáveis são desserializados sem as devidas validações ou restrições de tipo, um atacante pode manipular o fluxo de dados para injetar objetos maliciosos que, ao serem reconstruídos, executam código no contexto do processo da aplicação. No cenário específico do SharePoint, o atacante deve possuir credenciais válidas e o papel de Site Owner, o que fornece o nível de acesso necessário para submeter os dados maliciosos aos endpoints de processamento.
Uma vez que o payload seja executado com sucesso, o atacante obtém capacidade de Execução Remota de Código (RCE) no servidor subjacente. A CISA observou que campanhas ativas estão utilizando essa falha não apenas para o acesso inicial, mas para atividades de pós-exploração. Um objetivo específico identificado é o roubo de chaves de máquina (machine keys) dos Serviços de Informações da Internet (IIS). As chaves de máquina são segredos criptográficos usados pelo IIS e pelo ASP.NET para proteção de dados, incluindo a assinatura de cookies de autenticação e o ViewState. Ao obter essas chaves, o atacante pode falsificar tokens de autenticação, contornar validações de segurança e manter persistência no ambiente, mesmo que a vulnerabilidade original seja corrigida posteriormente.
Além da CVE-2026-58644, a agência federal alertou sobre outras falhas correlacionadas (CVE-2026-32201, CVE-2026-45659, CVE-2026-56164) que, em conjunto, facilitam a cadeia de ataque. A exploração dessas vulnerabilidades permite que adversários realizem movimento lateral, elevem privilégios e implantem malware persistente. O uso de técnicas de desserialização para capturar machine keys indica uma estratégia sofisticada focada na manutenção de acesso de longo prazo em ambientes corporativos que utilizam versões suportadas do SharePoint Server, incluindo Subscription Edition, 2019 e 2016.
A superfície de ataque compreende todas as versões suportadas do Microsoft SharePoint Server em implantações locais (on-premises). Isso inclui a edição de assinatura mais recente, bem como as versões 2019 e 2016. Servidores que executam essas versões e que estão acessíveis através da internet enfrentam o risco mais imediato, pois o vetor de ataque é baseado em rede e requer conexão com os serviços vulneráveis do SharePoint. AComplexidade reduzida do ataque aumenta a probabilidade de varreduras automatizadas e exploração sistemática por botnets ou grupos de exploração ativa.
Um ponto crítico de exposição é o acesso externo à administração central do SharePoint (SharePoint Central Administration). Interfaces de administração expostas publicamente ampliam o leque de possíveis vetores de entrada para atacantes que já possuem credenciais comprometidas ou que conseguem elevar seus privilégios dentro da organização. A CISA enfatiza que a exposição direta de servidores SharePoint à internet, sem controles de acesso rigorosos, cria uma janela de oportunidade significativa para a exploração da CVE-2026-58644 e das falhas associadas.
- Microsoft SharePoint Server Subscription Edition (on-premises)
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Server 2016
- Servidores expostos diretamente à internet
- SharePoint Central Administration acessível externamente
A detecção de tentativas de exploração da CVE-2026-58644 deve focar na identificação de atividades anômalas de desserialização e no acesso indevido a chaves de criptografia. Equipes de segurança devem buscar por padrões de tráfego de rede que indiquem o envio de dados serializados malformados ou suspeitos para endpoints do SharePoint. A habilitação da Interface de Verificação de Antimalware (AMSI) para cada aplicação web do SharePoint é um passo crítico para a telemetria, pois essa interface permite que o antivírus inspecione o conteúdo em memória antes que ele seja executado, bloqueando payloads ofuscados comuns em ataques de desserialização.
A investigação deve incluir a verificação de artefatos de intrusão e ferramentas específicas de coleta de chaves de máquina (machine key harvesting). Logs do IIS e do Windows Event Log devem ser auditados em busca de acessos não autorizados à conta de serviço do SharePoint ou leituras anômalas de arquivos de configuração como machine.config ou web.config. A presença de novos usuários ou alterações de configuração feitas por contas de serviço misteriosas pode indicar que o atacante já obteve as machine keys e está manipulando a segurança da aplicação.
- Alertas da Interface de Verificação de Antimalware (AMSI) indicando tentativa de execução de código ofuscado
- Tráfego de rede suspeito direcionado à porta TCP 443 (HTTPS) ou porta específica do SharePoint com payloads de desserialização
- Acessos anômalos ou leituras não autorizadas de arquivos de configuração do IIS para extração de machine keys
- Criação de novos usuários ou modificações de permissão realizadas por contas com privilégios de Site Owner fora do horário comercial habitual
A resposta prioritária é a aplicação imediata das atualizações de segurança mais recentes fornecidas pela Microsoft. É imperativo verificar se a correção foi instalada com sucesso em todos os servidores afetados e, whenever possível, reduzir o ciclo de aplicação de patches para minimizar a janela de exposição. Para agências federais dos EUA, o prazo mandatório é 19 de julho de 2026, mas organizações privadas devem tratar a correção com a mesma urgência, dado o status de zero-day já explorado ativamente.
Como medida de defesa em profundidade, a CISA recomenda fortemente verificar se a integração com o AMSI está ativada para todas as aplicações web do SharePoint. Isso cria uma camada adicional de inspeção que pode detectar e bloquear a execução de código malicioso originado pela vulnerabilidade de desserialização, mesmo antes da assinatura específica do exploit estar disponível nos sistemas de detecção tradicionais.
No nível de rede, a restritiva de acesso é essencial. Servidores SharePoint não devem ser expostos diretamente à internet, a menos que estritamente necessário. O acesso externo ao SharePoint Central Administration deve ser bloqueado completamente. As comunicações entre farms e bancos de dados devem ser restritas apenas aos sistemas requeridos. A revisão do guia de endurecimento de segurança do SharePoint Server, focando em portas, serviços e configurações de Web.config específicas para cada função, ajuda a fechar vetores de movimento lateral e persistência.
Finalmente, se houver suspeita de comprometimento, a rotação das machine keys do IIS é necessária, mas deve ser precedida por uma varredura completa e remoção de artefatos de intrusão. Rotacionar as chaves sem limpar o sistema pode resultar no roubo imediato das novas chaves pelo atacante, perpetuando o ciclo de comprometimento.
- Aplicação imediata do patch de segurança lançado em 14 de julho de 2026
- Verificação e ativação da integração com AMSI em todas as aplicações web SharePoint
- Bloqueio de acesso externo ao SharePoint Central Administration e restrição de exposição direta à internet
- Varredura e remoção de artefatos de intrusão antes de rotacionar chaves de máquina do IIS
- Revisão e endurecimento de configurações de portas, serviços e Web.config conforme guia oficial da Microsoft
0 Comentários