Microsoft libera recorde de 622 correções, focando em zero-days ativos em SharePoint e AD FS

Microsoft libera recorde de 622 correções, focando em zero-days ativos em SharePoint e AD FS

O maior Patch Tuesday da história expõe falhas críticas de elevação de privilégio já exploradas, compelindo revisão imediata de controles em infraestruturas locais e protocolos de autenticação.

ComponenteSharePoint Server (on-premises), Active Directory Federation Services (AD FS), BitLocker, Windows, Kerberos
VetorExploração remota não autenticada (CVE-2026-56164), acesso local autenticado com controles de acesso fracos (CVE-2026-56155), acesso físico ao dispositivo (CVE-2026-50661)
ImpactoElevação de privilégios em servidores de documentos e autenticação, potencial comprometimento de identidades federadas, bypass de criptografia de disco
PrioridadeAplicação imediata de patches CVE-2026-56164 e CVE-2026-56155; habilitação do AMSI no SharePoint; auditoria de uso de RC4 no Kerberos antes da atualização
Resumo técnico

A Microsoft lançou o maior volume de correções de segurança em um único Patch Tuesday desde a criação do programa, totalizando 622 vulnerabilidades CVEs próprias, conforme contabilizado pelo Security Update Guide. Este número representa mais que o triplo do recorde anterior de cerca de 200 falhas registrado em junho. Dentre este conjunto massivo, a atenção imediata deve voltar-se para duas falhas de elevação de privilégio tagged como zero-days, que já estão sendo exploradas ativamente por adversários em ambientes de produção.

As duas vulnerabilidades críticas sob exploração ativa são o CVE-2026-56164, afetando o SharePoint Server local, e o CVE-2026-56155, impactando o Active Directory Federation Services (AD FS). Embora nenhuma das duas seja classificada como uma execução remota de código (RCE) de alto impacto midiático, sua localização na infraestrutura de identidade e colaboração as torna estratégicas para movimentação lateral e persistência. Além disso, a atualização conclui o processo de endurecimento do protocolo Kerberos, removendo chaves de rollback para o desabilitação do RC4, o que exige preparação rigorosa da base de service accounts para evitar interrupções de autenticação.

Fluxo técnico dos zero-days

O CVE-2026-56164 é uma falha de elevação de privilégio no SharePoint Server que permite a um atacante não autenticado escalar privilégios pela rede. A descoberta, creditada às equipes de resposta a incidentes da Mandiant e do Google FLARE, indica que a vulnerabilidade foi identificada em decorrência de ataques reais. A falha é particularmente perigosa porque o SharePoint atua como o repositório central de documentos da organização e, uma vez comprometido, pode servir como pivô para o acesso a dados sensíveis e outras redes internas. A Microsoft classificou a severidade com uma nota relativamente baixa, o que reforça a necessidade de triagem baseada em risco de exploração e não apenas em pontuação CVSS, especialmente considerando o histórico de ataques à plataforma.

Já o CVE-2026-56155 afeta o AD FS, permitindo que um atacante já autenticado eleve privilégios localmente através de controles de acesso fracos. O crédito para está descoberta foi atribuído à própria unidade de resposta a incidentes (DART) da Microsoft. O risco inerente a está falha supera a classificação 'local', pois o AD FS é o componente responsável por assinar tokens de segurança confiáveis por toda a propriedade digital da organização. A comprometimento deste servidor pode permitir a forja de tokens e o acesso transversal a aplicações federadas, subjulgando a autoridade de identidade central.

Superfície afetada

A superfície de ataque exposta por está atualização é extensa, cobrindo desde servidores de colaboração até a camada de autenticação e criptografia de disco. Ambientes que utilizam versões locais do SharePoint Server 2016 e 2019 estão em uma posição de risco duplo: a presença de um zero-day ativo e o fim do suporte estendido para estas versões, ocorrido simultaneamente a este lançamento. Diferente de outros produtos, não existe um programa ESU pago para estender a vida útil do SharePoint, exigindo planos de migração urgentes para versões suportadas.

No âmbito de identidade, servidores rodando AD FS são o alvo primário para o CVE-2026-56155. Ainda no contexto de autenticação, a atualização finaliza o endurecimento do Kerberos, impactando qualquer conta de serviço ou legada que dependa explicitamente do algoritmo de criptografia RC4. Dispositivos Windows utilizing BitLocker também estão na lista devido ao CVE-2026-50661, um bypass que requer acesso físico ao equipador e que, embora não explorado ativamente na natureza, continua a tendência de bypasses observados ao longo do ano.

Adicionalmente, pesquisadores da Rapid7 divulgaram o CVE-2026-55040, um bypass de autenticação JWT no SharePoint que foi encadeado com uma falha de RCE ainda não corrigida durante o Pwn2Own Berlin. A aplicação deste patch específico é crucial para quebrar a cadeia de exploração antes que a correção da RCE seja disponibilizada em agosto.

  • SharePoint Server 2016 e 2019 (Fim de Vida e zero-day ativo)
  • Active Directory Federation Services (AD FS)
  • Service Accounts configurados para usar RC4 no Kerberos
  • Dispositivos Windows com BitLocker habilitado
Hunting e telemetria

Para a detecção de exploração do CVE-2026-56164 no SharePoint, as equipes de segurança devem monitorar telemetria associada ao AMSI (Antimalware Scan Interface). A própria Microsoft recomenda a habilitação do AMSI em modo completo no servidor SharePoint como uma mitigação eficaz, o que permite que soluções de antivírus detectem tentativas de injeção de código ou execução de scripts maliciosos na memória do processo. Logs de acesso ao SharePoint com padrões anômalos ou falhas de autenticação seguidas de atividades administrativas devem ser investigados.

No caso do AD FS (CVE-2026-56155), a caça deve focar em logs de administração local e eventos de segurança que indiquem modificações de privilégios ou acesso a componentes sensíveis do servidor de federação. Como a falha envolve controles de acesso fracos, anomalias na criação ou modificação de信任 relações (trust relationships) e na emissão de tokens podem ser indicativas de comprometimento. Auditorias de contas de serviço com permissões elevadas no AD FS são recomendadas.

Para transição do RC4 no Kerberos, é imperativo utilizar os eventos de auditoria introduzidos pela Microsoft em janeiro. A telemetria deve evidenciar quais contas de serviço estão solicitando tíquetes RC4. Isso permite identificar aplicações legadas ou configurações incorretas antes que a atualização remova a opção de fallback, prevenir falhas de autenticação em massa (service outage) logo após a aplicação do patch.

  • Alertas do AMSI no SharePoint indicando tentativa de execução de código não assinado
  • Eventos de auditoria do AD FS mostrando alterações de privilégio ou configuração fora da janela de manutenção
  • Logs de Kerberos (Evento em código específico) filtrando por solicitações de criptografia RC4 antes da atualização
Mitigação

A ordem de resposta prioriza o patch imediato das duas vulnerabilidades sob exploração ativa. Para o CVE-2026-56164 no SharePoint, além da atualização, a ação defensiva crítica é habilitar o AMSI em modo completo, caso ainda não esteja ativo. Isso adiciona uma camada de inspeção de código em tempo de execução que pode bloquear payloads conhecidos e variantes de ferramentas como ToolShell. Dado o fim do suporte para versões antigas, a migração para versões suportadas ou para ambientes cloud gerenciados deve ser acelerada.

Para o CVE-2026-56155 no AD FS, a aplicação do patch deve ser realizada o mais rápido possível, seguida pela revisão dos controles de acesso administrativo no servidor. A recomendação de não esperar pelo catálogo KEV do CISA é válida, pois a própria Microsoft já marca a falha como explorada. Em relação ao endurecimento do Kerberos, a mitigação não é apenas aplicar o patch, mas seguir o processo sequencial: auditar o uso de RC4 usando os eventos dedicados, rotacionar as senhas das contas de serviço sinalizadas para forçar a geração de chaves AES, e só então aplicar a atualização que remove o rollback.

Por fim, a equipe de segurança deve ajustar seus processos de triagem. Com o aumento no volume de correções impulsionado por sistemas automatizados de varredura como o MDASH, a classificação baseada puramente em severidade CVSS tornou-se ineficiente. A priorização deve ser dinâmica, focando em vulnerabilidades com status de exploração confirmada e em ativos críticos de identidade e dados, reduzindo a janela entre o Patch Tuesday e o potencial Exploit Wednesday.

  • Aplicação urgente dos patches CVE-2026-56164 e CVE-2026-56155
  • Habilitação do AMSI em modo completo em servidores SharePoint
  • Auditoria e rotação de contas de serviço para eliminação do RC4 antes do patch de Kerberos
  • Revisão de políticas de triagem para priorizar exploração ativa em vez de pontuação CVSS

Postar um comentário

0 Comentários