CVE-2026-45659: Falha Grave no SharePoint Server com Exploração Ativa e Escalação de Privilégios
ALERTA CISA KEV — Exploração Ativa Confirmada
Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.
O cenário de ameaças digitais acaba de ganhar um novo capítulo preocupante nesta quinta-feira, 2 de julho de 2026. A CVE-2026-45659 — uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft SharePoint Server — entrou oficialmente no catálogo KEV (Known Exploited Vulnerabilities) da CISA, com confirmação de exploração ativa em ambientes corporativos ao redor do mundo. A falha permite que um atacante autorizado execute código arbitrário remotamente, abrindo caminho para movimentação lateral, roubo de dados e comprometimento total da infraestrutura SharePoint. A palavra-chave aqui é urgência: CVE-2026-45659 exploração ativa vulnerabilidade já não é um alerta teórico, mas uma realidade enfrentada por equipes de segurança agora.
Para profissionais de TI e segurança da informação, o aviso é inequívoco. Estamos diante de uma vulnerabilidade zero-day que, embora exija autenticação prévia, pode ser explorada por qualquer usuário com credenciais válidas no SharePoint — um cenário comum em ataques que começam com phishing ou reutilização de senhas vazadas. Uma vez dentro, o invasor ganha a capacidade de executar comandos no servidor, comprometendo não apenas o portal SharePoint, mas potencialmente servidores conectados, bancos de dados SQL Server subjacentes e até controladores de domínio Active Directory. Na JRT Technology Solutions, nosso SOC já está monitorando alertas CISA KEV em tempo real, e as evidências preliminares apontam para campanhas direcionadas a setores estratégicos como governo, finanças e saúde.
A entrada da CVE-2026-45659 no CISA KEV significa que agências federais dos EUA têm prazo determinado para correção, mas a recomendação se estende a qualquer organização que opere SharePoint Server. A desserialização insegura, classificada como CWE-502, é uma classe de vulnerabilidade notoriamente perigosa, pois permite que objetos maliciosos injetados em fluxos de dados sejam reconstruídos e executados pelo servidor sem a devida validação. O impacto vai desde o roubo de documentos armazenados até a instalação de ransomware que se propaga pela rede interna. A CVE-2026-45659 exploração ativa vulnerabilidade reforça uma lição conhecida: ambientes SharePoint on-premises são alvos de alto valor e exigem patch management rigoroso.
A seguir, dissecamos a falha em detalhes técnicos, analisamos os vetores de ataque, listamos as versões afetadas e oferecemos um guia completo de mitigação e verificação. Cada minuto conta quando uma vulnerabilidade está sob exploração ativa — e este artigo foi preparado para ajudar equipes de infraestrutura e segurança a agir com precisão e velocidade.
O que é a CVE-2026-45659
A CVE-2026-45659 é uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft SharePoint Server. Em termos práticos, o SharePoint utiliza serialização para transformar objetos complexos em formatos que possam ser transmitidos ou armazenados, e desserialização para reconstruí‑los. Quando o processo de desserialização não verifica adequadamente a origem ou a integridade dos dados, um atacante pode injetar um objeto malicioso — por exemplo, através de uma requisição HTTP especialmente criada — que, ao ser desserializado, executa código no contexto do servidor. O resultado é uma Remote Code Execution (RCE) com os privilégios da conta de serviço do SharePoint, tipicamente uma conta de alto privilégio capaz de acessar bancos de dados e outros recursos sensíveis.
A falha foi classificada como HIGH (CVSS 8.8) por exigir autenticação prévia — vetor Adjacent Network lógico, mas tecnicamente explorável pela rede corporativa. No entanto, essa barreira é frequentemente contornada em ataques reais: credenciais comprometidas de um usuário comum do SharePoint são suficientes para disparar o exploit. A Microsoft reconheceu a vulnerabilidade e publicou atualizações de segurança de emergência, mas a exploração ativa já foi detectada antes que muitas organizações pudessem aplicar os patches. A CVE-2026-45659 exploração ativa vulnerabilidade está sendo rastreada por múltiplas agências de inteligência de ameaças, com indicadores de comprometimento (IOCs) já circulando entre parceiros da indústria.
Análise Técnica Detalhada
A raiz do problema está na forma como o SharePoint Server manipula objetos serializados em determinadas funcionalidades de API e web parts. Durante a operação normal, o servidor recebe fluxos de dados serializados de clientes legítimos e os reconstrói usando bibliotecas como BinaryFormatter ou NetDataContractSerializer. Ambos os formatos são conhecidos por permitir a desserialização polimórfica — ou seja, o servidor pode instanciar qualquer tipo disponível no assembly carregado, sem restrições rigorosas de tipo. Um invasor que consiga controlar o conteúdo do fluxo serializado pode forçar o servidor a carregar um gadget chain: uma sequência de objetos que, ao serem instanciados e terem seus métodos chamados durante a desserialização, resultam em execução de comandos arbitrários.
Especificamente na CVE-2026-45659, o vetor de entrada foi identificado em endpoints de serviço do SharePoint que aceitam parâmetros serializados como parte de operações de upload de arquivos ou manipulação de metadados de listas. Um atacante autenticado pode enviar uma requisição POST com um payload binário ou XML contendo o gadget chain, explorando classes presentes no próprio framework .NET — como System.Windows.Data.ObjectDataProvider em conjunto com System.Diagnostics.Process — para spawnar um processo malicioso no servidor. A ausência de validação de assinatura criptográfica ou de um type filter robusto transforma cada requisição suspeita em uma potencial brecha.
É importante notar que a vulnerabilidade não está limitada a uma única interface: relatórios de pesquisadores indicam que múltiplos endpoints REST e SOAP herdados do SharePoint podem compartilhar a mesma lógica de desserialização vulnerável. Isso amplia a superfície de ataque e dificulta a mitigação baseada apenas em regras de firewall de aplicação (WAF), já que os padrões de tráfego malicioso podem se disfarçar como chamadas legítimas de API. A complexidade aumenta quando consideramos que muitas organizações customizam o SharePoint com web parts de terceiros, que podem inadvertidamente reintroduzir padrões de desserialização inseguros mesmo após a aplicação do patch oficial.
Produtos e Versões Afetados
Abaixo estão as edições e builds do Microsoft SharePoint Server confirmadas como vulneráveis à CVE-2026-45659. A Microsoft também indicou que versões estendidas com suporte personalizado podem estar incluídas, exigindo verificação individual.
- 🔴 Microsoft SharePoint Server 2016 — todas as builds anteriores ao patch KB5036721 (lançado em 02/07/2026)
- 🔴 Microsoft SharePoint Server 2019 — todas as builds anteriores ao patch KB5036722
- 🔴 Microsoft SharePoint Server Subscription Edition — versões 16.0.16xxx anteriores à atualização de segurança de Julho de 2026
- 🟠 Microsoft SharePoint Foundation 2013 — potencialmente afetado se componentes compartilhados de desserialização estiverem presentes; ainda sem confirmação oficial, mas recomendada mitigação por precaução
Ambientes que executam o SharePoint no modo híbrido (conectado ao Microsoft 365) também devem ser avaliados, pois componentes on-premises que interagem com a nuvem podem expor a falha se não forem atualizados. A regra de ouro é: qualquer servidor SharePoint que não tenha recebido o patch de segurança de Julho de 2026 está potencialmente vulnerável e deve ser tratado como prioridade máxima.
Como o Ataque Funciona
Embora detalhes completos do exploit não sejam divulgados por razões de segurança, é possível descrever o fluxo conceitual de um ataque baseado na CVE-2026-45659. O cenário típico envolve as seguintes etapas:
- Comprometimento inicial de credenciais: o atacante obtém um par de login/senha de um usuário SharePoint, seja por phishing, credential stuffing ou compra em fóruns subterrâneos.
- Enumeração da versão do SharePoint: acessando a interface web ou endpoints como
/_api/web, o invasor identifica a build exata do servidor para confirmar a ausência do patch de segurança. - Preparação do payload: utilizando ferramentas como ysoserial.net, o atacante gera um objeto serializado malicioso contendo um comando (ex: PowerShell reverso, download e execução de malware).
- Entrega via endpoint vulnerável: o payload é submetido a um serviço do SharePoint que processa desserialização, disfarçado como um parâmetro de uma chamada de API comum (ex: upload de arquivo .aspx para uma biblioteca de documentos com metadados alterados).
- Execução de código: o servidor desserializa o payload, o gadget chain é ativado e o comando é executado sob a identidade da conta de pool de aplicativos do SharePoint (tipicamente um service account com privilégios elevados).
- Persistência e movimento lateral: o atacante estabelece uma backdoor no servidor, coleta hashes NTLM, acessa o banco de conteúdo SQL Server e tenta se mover para controladores de domínio ou outros servidores membros.
O fato de a exploração exigir autenticação não reduz significativamente o risco, pois usuários internos mal-intencionados ou contas comprometidas são vetores comuns. Além disso, organizações que possuem portais SharePoint expostos à Internet (algo desencorajado, mas ainda comum em extranets) enfrentam um risco ainda maior, pois os atacantes podem realizar ataques de força bruta ou explorar outras vulnerabilidades para obter credenciais iniciais.
Impacto Real para Empresas
O comprometimento de um servidor SharePoint por meio da CVE-2026-45659 pode ter consequências devastadoras. Como o SharePoint frequentemente centraliza documentos estratégicos, contratos, dados de RH, propriedade intelectual e registros financeiros, o acesso ao servidor equivale a um cofre aberto. A partir da execução inicial de código, o atacante pode:
- Exfiltrar dados confidenciais armazenados em bibliotecas de documentos e listas;
- Modificar ou excluir registros críticos, gerando impactos de integridade e disponibilidade;
- Utilizar o servidor comprometido como pivô para ataques a sistemas conectados, incluindo servidores de e-mail, ERP e Active Directory;
- Implementar ransomware que se propaga via subsistemas do SharePoint, como o Search Service ou o User Profile Service;
- Instalar web shells persistentes que sobrevivem a reinicializações e patches superficiais.
Do ponto de vista regulatório, a exploração de uma vulnerabilidade conhecida e não corrigida pode ser interpretada como negligência sob legislações como LGPD (Lei Geral de Proteção de Dados no Brasil), GDPR na Europa, PCI-DSS para ambientes que processam dados de cartão, e HIPAA para informações de saúde nos EUA. Multas podem alcançar percentuais significativos do faturamento anual, além dos custos intangíveis de reputação e confiança do cliente. A CVE-2026-45659 exploração ativa vulnerabilidade coloca gestores de compliance em posição delicada: qualquer auditoria que identifique a falha não corrigida após o alerta público da CISA resultará em apontamentos severos.
Como se Proteger — Passos de Mitigação
Dada a exploração ativa, a recomendação principal é aplicar o patch oficial da Microsoft o mais rápido possível. No entanto, um plano de ação completo envolve múltiplas camadas:
- Aplicar a atualização de segurança imediatamente: localize e instale os pacotes KB5036721 (SharePoint 2016) ou KB5036722 (SharePoint 2019 / Subscription Edition) através do Microsoft Update ou catálogo offline. Priorize servidores expostos à Internet e aqueles que armazenam dados sensíveis.
- Revisar contas de serviço privilegiadas: restrinja as permissões da conta de pool de aplicativos do SharePoint, removendo direitos de administrador local e acesso desnecessário a outros servidores. Aplique o princípio do menor privilégio.
- Implementar listas de tipos permitidos (type allow‑lists): nas configurações do web.config e nas políticas de serialização, limite os tipos que podem ser desserializados. A Microsoft fornece documentação para configurar
SerializationBinderpersonalizados. - Habilitar monitoramento de integridade de arquivos (FIM): ferramentas como Microsoft Defender for Identity ou soluções de terceiros podem detectar alterações não autorizadas em binários do SharePoint e web shells.
- Segmentar a rede: isole os servidores SharePoint em VLANs ou sub-redes dedicadas, com regras de firewall restritivas permitindo apenas tráfego essencial. Bloqueie a comunicação direta do SharePoint com a Internet, exigindo proxy reverso com inspeção de tráfego.
- Revisar logs e buscar IOCs: analise os logs do IIS, ULS do SharePoint e eventos de segurança do Windows em busca de requisições POST incomuns para endpoints de API, erros de desserialização ou processos inesperados iniciados pela conta de serviço.
Na JRT Technology Solutions, implementamos varredura contínua de CVEs para frotas corporativas, combinando agentes de endpoint com scanners de rede que detectam builds desatualizadas do SharePoint. Nossa equipe de resposta a incidentes pode auxiliar na aplicação emergencial de patches e na análise forense de servidores potencialmente comprometidos.
Verificação Pós-Patch
Aplicar a atualização não é o fim do processo. É essencial confirmar que a correção foi efetiva e que nenhuma backdoor foi instalada antes da remediação. Siga estes passos de validação:
- Execute o SharePoint Configuration Wizard após instalar o patch para garantir que todos os bancos de dados e serviços sejam atualizados.
- Verifique a versão do pacote de segurança no Central Administration > System Settings > Manage servers in this farm > coluna “Version”. Deve refletir a build pós-patch.
- Realize um scan com ferramenta de detecção de desserialização insegura, como scripts que tentam enviar payloads benignos de teste para endpoints conhecidos.
- Audite contas de usuário do SharePoint em busca de permissões elevadas concedidas recentemente ou criação de novas contas administrativas.
- Monitore por 72 horas o tráfego de rede partindo dos servidores SharePoint para destinos não usuais, usando análise de fluxo (NetFlow) ou EDR comportamental.
Organizações que não puderem aplicar o patch imediatamente (por limitações de janela de manutenção ou dependências críticas) devem implementar controles compensatórios, como desabilitar temporariamente os serviços de API de upload e manipulação de metadados via web.config, e reforçar a vigilância sobre tentativas de autenticação suspeitas com lockout de conta agressivo. Nosso SOC na JRT monitora alertas CISA KEV em tempo real e pode auxiliar na configuração de regras de detecção personalizadas para tentativas de exploração da CVE-2026-45659.
Contexto Histórico e Comparativo
A CVE-2026-45659 não é um evento isolado. O ecossistema SharePoint tem um histórico de vulnerabilidades de desserialização que remonta a 2019, com falhas como CVE-2019-0604, CVE-2020-1147 e CVE-2022-35823. Em comum, todas exploram a confiança excessiva que o servidor deposita nos dados serializados recebidos. A lição é clara: a Microsoft tem dificuldade em erradicar completamente essa classe de falhas devido à natureza complexa e extensível do SharePoint, que precisa suportar uma ampla variedade de tipos e cenários de integração.
Comparativamente, a CVE-2026-45659 se destaca pela velocidade com que foi adicionada ao CISA KEV — menos de 24 horas após a divulgação inicial, indicando que a exploração já estava em andamento antes mesmo do patch. Isso sugere que o exploit pode ter sido desenvolvido por grupos de ameaça sofisticados, possivelmente vinculados a campanhas de espionagem ou ransomware como serviço. A comunidade de inteligência aponta similaridades com táticas do grupo TA401 (também rastreado como APT29) e de afiliados do ecossistema LockBit 4.0, que historicamente miram servidores de colaboração empresarial.
Outro aspecto relevante é a interconexão com a vulnerabilidade CVE-2026-48558 (SimpleHelp Authentication Bypass), também ativamente explorada e listada hoje no KEV. Ataques coordenados que combinam múltiplas vulnerabilidades zero-day em serviços distintos são uma tendência preocupante, amplificando o impacto e a complexidade da resposta. Para líderes de segurança, isso reforça a necessidade de uma abordagem de gestão de vulnerabilidades baseada em risco, priorizando correções em ativos com exposição à Internet ou que armazenam dados confidenciais.
Conclusão
A CVE-2026-45659 representa um risco imediato e severo para todas as organizações que operam Microsoft SharePoint Server on-premises. Com exploração ativa confirmada e entrada oficial no catálogo KEV da CISA, cada hora sem aplicação do patch aumenta exponencialmente a probabilidade de comprometimento. As equipes de TI devem agir agora: isolar servidores vulneráveis, aplicar as atualizações de segurança KB5036721/KB5036722, revisar logs e reforçar controles de acesso.
A convergência de múltiplas vulnerabilidades zero-day — incluindo a CVE-2026-45659 exploração ativa vulnerabilidade — sinaliza um ambiente de ameaças cada vez mais agressivo. A JRT Technology Solutions está preparada para apoiar empresas na resposta a este incidente e na construção de uma estratégia de resiliência cibernética que una gestão de vulnerabilidades, MDM corporativo, monitoramento 24/7 e testes de intrusão contínuos. Entre em contato com nossa equipe para uma avaliação emergencial do seu ambiente SharePoint e para garantir que sua organização não será a próxima vítima desta campanha de ataques.
Sua empresa está protegida contra esta vulnerabilidade?
A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.