Falhas em servidores locais podem permitir acesso indevido e roubo de chaves do IIS.
A CISA alertou que três falhas em versões locais do Microsoft SharePoint Server estão sendo exploradas em julho de 2026. Os invasores usam essas brechas para roubar chaves de máquina do IIS, manter acesso não autorizado e liberar malware. Pesquisadores também apontam uma falha adicional que pode ser combinada com uma segunda vulnerabilidade, sem correção prevista antes do ciclo de agosto da Microsoft.
A Cybersecurity and Infrastructure Security Agency, a CISA, informou que três vulnerabilidades em versões locais do Microsoft SharePoint Server estão sendo exploradas em ataques reais. O SharePoint sustenta documentos, colaboração e fluxos internos em milhares de empresas e órgãos públicos, e é justamente essa presença que transforma uma falha ativa em prioridade máxima.
As brechas citadas são a CVE-2026-32201, divulgada originalmente em abril, a CVE-2026-45659, com pontuação de severidade 8.8, e a CVE-2026-56164, divulgada em 15 de julho de 2026. A Rapid7 acrescentou a CVE-2026-55040, uma falha de desvio de autenticação capaz de permitir execução remota de código quando encadeada com outra brecha.
O invasor aproveita as falhas no SharePoint local para obter um acesso que jamais deveria ter. Segundo o relato, o alvo são as chaves de máquina do IIS, componente responsável por serviços web em ambientes Microsoft. Com essas chaves em mãos, o atacante consegue se manter no ambiente mesmo depois de fechada a porta de entrada original.
Uma das técnicas descritas envolve o tratamento inseguro de dados recebidos pelo servidor. Na prática, é como se o sistema aceitasse uma informação manipulada e a interpretasse de forma perigosa. O desfecho pode incluir acesso persistente, elevação de privilégios e instalação de malware.
O relato não traz indicadores técnicos específicos, mas descreve consequências que orientam a investigação. As equipes responsáveis pelo Microsoft SharePoint Server local devem observar:
O primeiro passo é confirmar se a empresa usa Microsoft SharePoint Server local. Ambientes em nuvem não foram o foco do alerta descrito, que aponta o risco nas instalações on-premises. Feito isso, consulte os avisos de segurança da Microsoft, revise a exposição de rede, acompanhe os comunicados da CISA e prepare a aplicação das correções assim que forem liberadas.
Como a Rapid7 informou que a correção da CVE-2026-55040 não deve sair antes do ciclo de atualizações de agosto da Microsoft, a mitigação temporária vira prioridade operacional. Isso significa monitoramento reforçado, revisão de acessos e investigação de qualquer indício de persistência dentro do ambiente.
O alerta envolve versões locais do Microsoft SharePoint Server. Empresas que rodam o SharePoint em infraestrutura própria devem tratar o tema como prioridade.
A Rapid7 alertou que a correção da CVE-2026-55040 não deve chegar antes do ciclo de atualizações de agosto da Microsoft.
Essas chaves fazem parte do funcionamento dos serviços web em ambientes Microsoft. Se forem roubadas, ajudam o invasor a manter acesso indevido e a ampliar o impacto do ataque.
Ambientes críticos como o Microsoft SharePoint exigem controle de acesso forte, revisão constante de permissões e resposta rápida a vulnerabilidades. A MFA2GO ajuda sua empresa a reduzir riscos com autenticação forte e gestão segura de acessos.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://www.cybersecuritydive.com/news/cisa-multiple-vulnerabilities-sharepoint-exploitation/825306/