render-mfa2go-novo-logo
Voltar ao início do blog

Falha RCE no Microsoft SharePoint entra na KEV apos exploracao ativa

Vulnerabilidade

Microsoft SharePoint com RCE explorada: saiba o impacto

Falha permite execução remota de código por usuário autenticado com permissão básica no site.

Falha RCE no Microsoft SharePoint entra na KEV apos exploracao ativa

Resumo rapido

A CISA adicionou a CVE-2026-45659, do Microsoft SharePoint Server, ao catálogo KEV após identificar exploração ativa. A falha tem pontuação CVSS 8.8 e permite execução remota de código. A correção foi publicada pela Microsoft em maio de 2026 para as versões locais do SharePoint.

Neste artigo voce vai aprender:

  • O que é a CVE-2026-45659 no Microsoft SharePoint Server.
  • Por que a entrada no catálogo KEV aumenta a urgência.
  • Quais versões tiveram correção indicada pela Microsoft.
  • Quais permissões mínimas podem ser suficientes para abuso.
  • Quais ações práticas priorizar agora.

O que aconteceu

A agência norte-americana CISA incluiu a vulnerabilidade CVE-2026-45659 no catálogo de falhas conhecidas e exploradas, o KEV. A entrada nessa lista não é burocracia: significa que há evidência de uso real da falha em ataques, e não apenas um risco no papel.

O problema afeta o Microsoft SharePoint Server e recebeu nota CVSS 8.8, classificada como alta. A Microsoft já havia tratado a falha em maio de 2026 para o SharePoint Server Subscription Edition, o SharePoint Server 2019 e o SharePoint Enterprise Server 2016.

Como a falha pode ser explorada

A CVE-2026-45659 é um caso de execução remota de código. Em termos simples, ela pode permitir que alguém faça o servidor SharePoint rodar comandos ou executar ações que jamais deveria aceitar.

A causa raiz é a desserialização de dados não confiáveis. Na prática, é quando o sistema recebe uma entrada, tenta transformá-la em algo que consiga processar e acaba engolindo um conteúdo malicioso. Segundo a Microsoft, o invasor precisa estar autenticado, mas não precisa ser administrador: permissões mínimas de membro de site já podem bastar.

Sinais de alerta no SharePoint

A fonte não detalha como exatamente a CVE-2026-45659 vem sendo explorada, quem está por trás dos ataques ou qual é o objetivo final. Mesmo com essas lacunas, as equipes responsáveis pelo SharePoint local devem tratar o caso como prioridade máxima.

  • Verifique tentativas incomuns de acesso a arquivos internos ou de configuração.
  • Revise atividades de usuários com permissão de membro de site, especialmente em horários fora do padrão.
  • Procure alterações recentes e inesperadas em bibliotecas, páginas, permissões ou componentes do SharePoint.
  • Observe qualquer comportamento anormal no servidor logo após autenticações aparentemente legítimas.

O que fazer agora

A medida central é aplicar as correções de maio de 2026 da Microsoft nas versões afetadas. Para os órgãos federais civis dos Estados Unidos, a CISA definiu prazo até 4 de julho de 2026, um sinal claro da urgência do caso.

  • Confirme se o ambiente usa SharePoint Server Subscription Edition, 2019 ou Enterprise Server 2016.
  • Aplique os patches correspondentes e registre a mudança.
  • Revise quem tem permissão de membro nos sites.
  • Remova acessos antigos, genéricos ou sem justificativa clara.
  • Monitore logs de autenticação e ações administrativas após a atualização.

Checklist pratico

  1. Inventarie todos os servidores Microsoft SharePoint locais e identifique versão e nível de atualização.
  2. Priorize a instalação das correções de maio de 2026 para os produtos afetados.
  3. Revise permissões de membros de site e mantenha apenas os acessos realmente necessários.
  4. Analise logs recentes em busca de acessos incomuns, mudanças inesperadas e tentativas de leitura de arquivos internos.
  5. Documente as ações realizadas para apoiar auditoria, resposta a incidentes e governança de acesso.

Perguntas frequentes

Quem precisa se preocupar com a CVE-2026-45659?

Organizações que usam Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 ou SharePoint Enterprise Server 2016 devem verificar se já aplicaram as correções de maio de 2026.

O invasor precisa ser administrador?

Segundo a Microsoft, não. O ataque exige um usuário autenticado, mas permissões mínimas de membro de site já podem ser suficientes para explorar a falha.

A exploração já foi confirmada?

Sim. A CISA adicionou a falha ao catálogo KEV citando evidência de exploração ativa, embora os detalhes sobre autores, método exato e objetivos não tenham sido informados.

Proteja sua empresa com a MFA2GO

Falhas como a CVE-2026-45659 mostram por que controlar acessos é tão importante quanto aplicar patches. A MFA2GO ajuda sua empresa a fortalecer autenticação, reduzir acessos indevidos e melhorar a governança de permissões em ambientes críticos.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://thehackernews.com/2026/07/sharepoint-rce-cve-2026-45659-added-to.html

Compartilhe nas redes sociais:

Conteúdos relacionados