render-mfa2go-novo-logo
Voltar ao início do blog

Falhas no Microsoft SharePoint roubam chaves IIS em ataques ativos

Vulnerabilidade

Microsoft SharePoint sob ataque, saiba agir

Falhas em servidores locais podem permitir acesso indevido e roubo de chaves do IIS.

Falhas no Microsoft SharePoint roubam chaves IIS em ataques ativos

Resumo rapido

A CISA alertou que três falhas em versões locais do Microsoft SharePoint Server estão sendo exploradas em julho de 2026. Os invasores usam essas brechas para roubar chaves de máquina do IIS, manter acesso não autorizado e liberar malware. Pesquisadores também apontam uma falha adicional que pode ser combinada com uma segunda vulnerabilidade, sem correção prevista antes do ciclo de agosto da Microsoft.

Neste artigo voce vai aprender:

  • Quais vulnerabilidades do Microsoft SharePoint foram citadas no alerta.
  • Por que o roubo de chaves do IIS aumenta o risco para empresas.
  • Como invasores podem combinar falhas para ampliar o impacto.
  • Quais sinais merecem atenção das equipes de segurança.
  • Quais ações práticas devem entrar no plano imediato de resposta.

O que aconteceu

A Cybersecurity and Infrastructure Security Agency, a CISA, informou que três vulnerabilidades em versões locais do Microsoft SharePoint Server estão sendo exploradas em ataques reais. O SharePoint sustenta documentos, colaboração e fluxos internos em milhares de empresas e órgãos públicos, e é justamente essa presença que transforma uma falha ativa em prioridade máxima.

As brechas citadas são a CVE-2026-32201, divulgada originalmente em abril, a CVE-2026-45659, com pontuação de severidade 8.8, e a CVE-2026-56164, divulgada em 15 de julho de 2026. A Rapid7 acrescentou a CVE-2026-55040, uma falha de desvio de autenticação capaz de permitir execução remota de código quando encadeada com outra brecha.

Como o ataque funciona

O invasor aproveita as falhas no SharePoint local para obter um acesso que jamais deveria ter. Segundo o relato, o alvo são as chaves de máquina do IIS, componente responsável por serviços web em ambientes Microsoft. Com essas chaves em mãos, o atacante consegue se manter no ambiente mesmo depois de fechada a porta de entrada original.

Uma das técnicas descritas envolve o tratamento inseguro de dados recebidos pelo servidor. Na prática, é como se o sistema aceitasse uma informação manipulada e a interpretasse de forma perigosa. O desfecho pode incluir acesso persistente, elevação de privilégios e instalação de malware.

Sinais de alerta

O relato não traz indicadores técnicos específicos, mas descreve consequências que orientam a investigação. As equipes responsáveis pelo Microsoft SharePoint Server local devem observar:

  • tentativas incomuns de acesso ao SharePoint pela rede;
  • alterações inesperadas em componentes ligados ao IIS;
  • comportamentos que indiquem manutenção de acesso indevido;
  • arquivos ou processos associados à liberação de malware;
  • eventos próximos às datas de divulgação das falhas, especialmente após abril e julho de 2026.

O que fazer agora

O primeiro passo é confirmar se a empresa usa Microsoft SharePoint Server local. Ambientes em nuvem não foram o foco do alerta descrito, que aponta o risco nas instalações on-premises. Feito isso, consulte os avisos de segurança da Microsoft, revise a exposição de rede, acompanhe os comunicados da CISA e prepare a aplicação das correções assim que forem liberadas.

Como a Rapid7 informou que a correção da CVE-2026-55040 não deve sair antes do ciclo de atualizações de agosto da Microsoft, a mitigação temporária vira prioridade operacional. Isso significa monitoramento reforçado, revisão de acessos e investigação de qualquer indício de persistência dentro do ambiente.

Checklist pratico

  1. Confirme se há Microsoft SharePoint Server local em uso e quais versões estão ativas.
  2. Mapeie os servidores expostos à rede e revise acessos administrativos e integrações com IIS.
  3. Acompanhe os avisos da Microsoft, da CISA e da Rapid7 e planeje a janela de correção de agosto.
  4. Investigue alterações recentes em chaves, configurações e componentes web do ambiente.
  5. Reforce o monitoramento até que todas as correções aplicáveis sejam instaladas.

Perguntas frequentes

Quem é afetado por esse alerta?

O alerta envolve versões locais do Microsoft SharePoint Server. Empresas que rodam o SharePoint em infraestrutura própria devem tratar o tema como prioridade.

Existe correção disponível para todas as falhas?

A Rapid7 alertou que a correção da CVE-2026-55040 não deve chegar antes do ciclo de atualizações de agosto da Microsoft.

Por que o roubo de chaves do IIS é grave?

Essas chaves fazem parte do funcionamento dos serviços web em ambientes Microsoft. Se forem roubadas, ajudam o invasor a manter acesso indevido e a ampliar o impacto do ataque.

Proteja sua empresa com a MFA2GO

Ambientes críticos como o Microsoft SharePoint exigem controle de acesso forte, revisão constante de permissões e resposta rápida a vulnerabilidades. A MFA2GO ajuda sua empresa a reduzir riscos com autenticação forte e gestão segura de acessos.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://www.cybersecuritydive.com/news/cisa-multiple-vulnerabilities-sharepoint-exploitation/825306/

Compartilhe nas redes sociais:

Conteúdos relacionados