
Falha de desserialização de dados não confiáveis no Microsoft SharePoint Server, com CVSS 8.8, passa a exigir correção imediata em ambientes federais dos EUA diante de evidências de uso em ataques na rede
| Componente | Microsoft SharePoint Server — Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016 |
| Versões | Correções publicadas pela Microsoft em maio de 2026 para as três edições on-premises listadas no advisory |
| Vetor | Ataque baseado em rede por usuário autenticado com permissão mínima de Site Member (PR:L), sem necessidade de privilégios administrativos, explorando desserialização de dados não confiáveis |
| Impacto | Execução remota de código no servidor SharePoint; exploração ativa confirmada pela CISA, com vetor, atores e objetivos finais ainda não divulgados publicamente |
| Prioridade | Aplicar patches de maio de 2026 imediatamente; agências civis do Poder Executivo dos EUA (FCEB) devem concluir mitigação até 4 de julho de 2026 conforme diretriz KEV |
| Mitigação | Atualização oficial Microsoft para CVE-2026-45659; inventário de instâncias SharePoint on-premises expostas à rede e validação pós-patch em ambientes com autenticação ampla de membros de site |
A Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos incluiu a vulnerabilidade CVE-2026-45659 no catálogo Known Exploited Vulnerabilities (KEV), classificando-a como falha de alta gravidade com pontuação CVSS 8.8 no Microsoft SharePoint Server. A inclusão ocorre com base em evidências de exploração ativa em ambientes reais, elevando a prioridade de correção para organizações que dependem de instâncias on-premises dessa plataforma de colaboração e publicação de conteúdo corporativo.
A falha decorre de desserialização de dados não confiáveis, uma classe de defeito em que estruturas serializadas recebidas pela aplicação são reconstituídas sem validação adequada, permitindo que um atacante autenticado desvie o fluxo de processamento e alcance execução remota de código no próprio servidor SharePoint. A Microsoft havia endereçado o problema em maio de 2026 nas edições SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016.
No enquadramento oficial, qualquer atacante autenticado pode acionar a vulnerabilidade sem exigir privilégios administrativos ou equivalentes. Em cenário de ataque pela rede, um adversário com permissão mínima de Site Member — equivalente a PR:L na matriz CVSS — já dispõe de superfície suficiente para executar código remotamente no host SharePoint. A CISA descreve o defeito como capacidade de um atacante autorizado executar código pela rede sobre o servidor afetado.
Apesar da confirmação de exploração ativa pelo catálogo federal, permanecem lacunas públicas: não há detalhamento sobre a cadeia técnica exata do exploit, a identidade dos operadores ou os objetivos finais das campanhas observadas. O advisory da Microsoft classifica a probabilidade de exploração como Exploitation Less Likely, o que não elimina o risco operacional diante da evidência registrada pela CISA e da obrigatoriedade de ação para o setor público federal americano.
O contexto mais amplo reforça que servidores SharePoint on-premises continuam entre alvos recorrentes em investigações de ransomware. Em atividade recente documentada pela equipe de resposta a incidentes da Microsoft, operadores associados ao grupo Storm-2603 — conhecidos pelo uso do ransomware Warlock e por exploração de vulnerabilidades conhecidas em SharePoint desde meados de 2025 — aparecem em intrusões complexas que combinam persistência prolongada, mascaramento de telemetria e, em alguns casos, coexistência de múltiplos atores na mesma rede. Embora CVE-2026-45659 seja o foco imediato do KEV, a convergência histórica entre SharePoint exposto e ransomware eleva a urgência de inventário, patch e monitoramento defensivo.
A desserialização insegura ocorre quando o SharePoint Server processa objetos serializados provenientes de entradas controláveis por um usuário autenticado sem impor restrições de tipo, integridade ou origem confiável. Em vez de limitar-se a operações benignas de colaboração — upload, metadados ou estruturas internas esperadas — o processamento aceita dados que, ao serem reidratados, podem instanciar tipos perigosos ou encadear chamadas que culminam em execução de código no contexto do serviço.
As pré-condições operacionais são relativamente baixas para um RCE de gravidade elevada: autenticação válida no ambiente SharePoint e permissão de membro de site, sem escalonamento prévio a administrador de farm ou de sistema. O vetor é baseado em rede, o que implica que instâncias acessíveis a usuários internos — e, conforme postura de exposição, potencialmente a atores externos com credenciais roubadas ou contas comprometidas — representam a superfície crítica.
A exploração ativa confirmada pela CISA indica que essa combinação de autenticação mínima e execução remota já foi convertida em capacidade ofensiva em produção, embora os detalhes do payload e da cadeia de gadget não tenham sido divulgados no material analisado. Do ponto de vista defensivo, o impacto imediato é comprometimento do servidor de aplicação SharePoint, com potencial de implantação de webshells, coleta de credenciais de serviço, movimentação para sistemas adjacentes e uso da infraestrutura de colaboração como pivô para campanhas mais amplas — limites que devem ser avaliados caso a caso conforme telemetria local.
Em paralelo ao cenário do KEV, investigações recentes da Microsoft sobre ransomware ilustram como intrusões em ambientes com SharePoint podem evoluir além de um único vetor inicial. Em um caso documentado, a equipe de resposta identificou dois conjuntos de atividade não relacionados operando simultaneamente na mesma rede, dificultando atribuição e ampliando a janela de persistência. Um fluxo foi associado a Storm-2603, com tentativa provável de acesso inicial por vulnerabilidade distinta — sondagens compatíveis com inclusão local de arquivos como win.ini e web.config, com indícios apontando para CVE-2025-11371 em Gladinet Triofox — seguida de implantação de ferramentas legítimas abusadas, túneis remotos e escalonamento de privilégios.
Nesse mesmo incidente, após acesso inicial, foram observados o uso de Velociraptor para misturar atividade maliciosa a comportamento administrativo confiável, canais remotos via tunelamento Cloudflare, Zoho Assist e conexões SSH configuradas por Visual Studio Code, criação de contas locais e de domínio com privilégios administrativos, e abuso de driver vulnerável identificado como NSecKrnl.sys para interferir em proteções de endpoint. Um segundo ator, independente, empregou DLL side-loading e backdoors customizados no mesmo ambiente. A investigação confirmou movimentação lateral para uma segunda organização comprometida pela mesma atividade de ransomware atribuída a Storm-2603. Esses elementos não provam que CVE-2026-45659 participou dessa cadeia específica, mas demonstram o padrão de profundidade e sobreposição tática que equipes devem antecipar ao tratar SharePoint on-premises como ativo crítico.
A vulnerabilidade afeta exclusivamente as edições on-premises do SharePoint Server com ramos ainda dentro do ciclo de suporte corrigido em maio de 2026. Ambientes que permanecem sem patch nessas versões e expõem serviços SharePoint à rede corporativa — ou à internet, em posturas de publicação inadequadas — concentram o risco imediato de RCE por usuário autenticado de baixo privilégio.
Organizações do setor público federal civil dos Estados Unidos enquadram-se na diretriz KEV com prazo de mitigação até 4 de julho de 2026. Empresas privadas, provedores de serviço e ambientes híbridos que replicam permissões amplas de Site Member em farms legados compartilham a mesma classe de exposição técnica, ainda que sem obrigação regulatória idêntica.
- SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016 sem atualização de maio de 2026 para CVE-2026-45659
- Usuários autenticados com permissão de Site Member ou superior em sites hospedados no servidor afetado
- Farms SharePoint acessíveis por rede interna, VPN ou exposição externa que permita autenticação contra o serviço
- Ambientes onde SharePoint coexiste com outras aplicações de arquivo e sincronização previamente comprometidas, ampliando superfície de pivô pós-RCE
A confirmação de exploração ativa sem detalhamento público do exploit exige caça proativa orientada a comportamento pós-autenticação no SharePoint e anomalias de processo no servidor Windows subjacente. Equipes devem correlacionar eventos de autenticação de contas de baixo privilégio com atividade de aplicação incomum — reinícios de pools, execução filha inesperada a partir de w3wp.exe ou processos do serviço SharePoint, e escrita de artefatos executáveis em diretórios de conteúdo ou temporários do IIS.
Em investigações de ransomware com histórico em SharePoint, a telemetria deve incluir sinais além do vetor inicial: presença de ferramentas de resposta forense ou administração remota legítimas implantadas fora de procedimento, túneis Cloudflare ou sessões Zoho Assist não inventariadas, conexões SSH originadas de hosts SharePoint, criação súbita de contas administrativas locais ou de domínio, e carregamento de drivers de kernel não padronizados como NSecKrnl.sys com subsequente degradação de agentes de endpoint.
A coexistência de múltiplos atores — DLL side-loading, backdoors customizados e movimentação lateral confirmada para outra organização — reforça que indicadores isolados subestimam o escopo. Correlacione identidades, tráfego east-west e compartilhamentos entre tenants ou unidades de negócio que reutilizam integrações SharePoint.
- Autenticações SharePoint bem-sucedidas seguidas de erros ou reinícios anômalos de application pool e picos de CPU em w3wp.exe
- Criação ou modificação de arquivos executáveis, scripts ou assemblies em pastas de layout, _catalogs ou diretórios temporários do serviço web
- Uso não autorizado de Velociraptor, Visual Studio Code com encaminhamento SSH, Zoho Assist ou túneis Cloudflare originados do servidor SharePoint
- Novas contas privilegiadas e carregamento de drivers kernel atípicos associados a tentativas de blindagem de EDR
- Sondagens HTTP compatíveis com tentativa de inclusão local de arquivos sensíveis do sistema em aplicações adjacentes ao ecossistema SharePoint
A resposta prioritária é aplicar os pacotes de correção de maio de 2026 da Microsoft que endereçam CVE-2026-45659 em todas as instâncias SharePoint Server nas edições afetadas, seguida de reinício controlado dos serviços e validação funcional de sites críticos. Para agências FCEB, o prazo regulatório é 4 de julho de 2026; demais organizações devem tratar a entrada no KEV como gatilho de manutenção emergencial equivalente.
Após patching, execute revisão de contas com permissão de Site Member em sites expostos, desabilite ou restrinja contas inativas e aplique autenticação multifator onde o fluxo SharePoint permitir. Reduza exposição de farms legados à internet direta; prefira publicação reversa, segmentação e listas de permissão mínimas. Em ambientes com histórico de ransomware ou presença de Gladinet Triofox e integrações de arquivo, verifique se CVE-2025-11371 e demais falhas correlatas também foram corrigidas, pois investigações recentes mostram encadeamento com outras vulnerabilidades e persistência prolongada.
Se houver suspeita de comprometimento anterior ao patch, trate o servidor como host potencialmente controlado: isole a instância, preserve logs IIS, ULS do SharePoint, autenticação Active Directory e telemetria de endpoint, procure webshells e tarefas agendadas, rotacione credenciais de serviço e de farm, e avalie movimentação lateral para file servers, identidade e segunda linha organizacional — padrão já observado em campanhas atribuídas a Storm-2603 com Warlock.
- Instalar imediatamente as atualizações de maio de 2026 para CVE-2026-45659 nas três edições SharePoint Server suportadas
- Cumprir prazo KEV de 4 de julho de 2026 para ambientes FCEB e documentar evidência de patch em inventário de ativos
- Restringir permissões de Site Member, revisar autenticação e eliminar exposição desnecessária de farms à rede externa
- Caçar persistência pós-exploração: processos filhos anômalos, ferramentas administrativas não aprovadas, túneis remotos e contas privilegiadas novas
- Correlacionar com campanhas ransomware em SharePoint on-premises e validar correções adjacentes, incluindo CVE-2025-11371 quando Gladinet Triofox estiver presente no ambiente
0 Comentários