CVE-2026-45659: SharePoint Server Sob Ataque — Exploração Ativa e Correção Urgente
ALERTA CISA KEV — Exploração Ativa Confirmada
Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.
Sexta-feira, 3 de julho de 2026. Enquanto muitas equipes de TI se preparam para encerrar a semana, a comunidade de segurança da informação entra em estado de alerta máximo. A CVE-2026-45659, uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft SharePoint Server, entrou oficialmente para o catálogo CISA KEV (Known Exploited Vulnerabilities) com confirmação de exploração ativa em ambientes corporativos. Estamos diante de um cenário de zero-day real, onde a janela de proteção é inexistente e cada minuto conta. A falha permite que um atacante autorizado execute código remotamente através da rede, assumindo o controle total do servidor SharePoint e, potencialmente, de toda a infraestrutura conectada ao Active Directory corporativo.
O termo “zero-day” não é apenas um jargão técnico nesta situação. Ele significa que, no momento da detecção da exploração, não havia patch disponível — uma janela zero de proteção que coloca milhares de organizações em risco imediato. O SharePoint Server é o coração da colaboração empresarial para empresas de todos os portes, abrigando documentos estratégicos, fluxos de trabalho, intranets e, frequentemente, integrações profundas com sistemas legados. Um comprometimento bem-sucedido dessa plataforma pode significar a porta de entrada para ataques de ransomware, roubo de propriedade intelectual e violações de compliance com impacto financeiro e reputacional severo. A CVE-2026-45659 exploração ativa vulnerabilidade não é uma possibilidade teórica: é um incidente em andamento, documentado por agências de inteligência e times de resposta a incidentes ao redor do globo.
A inclusão no catálogo CISA KEV aciona um cronômetro regulatório para agências federais e empresas que seguem a BOD 22-01, mas a realidade é que toda organização que opera SharePoint Server deve tratar essa correção como prioridade absoluta. A JRT Technology Solutions, através de seu SOC e plataforma de gestão de vulnerabilidades, já está monitorando ativamente tentativas de exploração em endpoints de clientes e aplicando contramedidas preventivas. Neste artigo, vamos dissecar tecnicamente a falha, entender o vetor de ataque, as versões afetadas, e fornecer um guia passo a passo para proteger seu ambiente antes que seja tarde.
O que é a CVE-2026-45659 — Entendendo a Exploração Ativa da Vulnerabilidade
A CVE-2026-45659 é uma falha clássica de desserialização insegura (CWE-502). Em termos práticos, o SharePoint Server, em determinados endpoints da API de integração, aceita objetos serializados enviados pelo cliente e os reconstrói sem a devida verificação de integridade e tipo. Um atacante que possua credenciais de baixo privilégio — algo trivial em cenários de phishing ou credential stuffing — pode injetar um objeto malicioso que, ao ser desserializado, dispara a execução de comandos arbitrários no contexto de segurança do pool de aplicações do IIS, que tipicamente roda sob contas com privilégios elevados no servidor. A falha é particularmente perigosa porque não requer interação do usuário (UI:N) e o vetor de ataque é acessível via rede (AV:N), facilitando a automação de ataques em larga escala.
Ao contrário de outras vulnerabilidades de SharePoint que dependem de múltiplos fatores de mitigação, aqui a barreira de entrada é bastante reduzida. O atacante precisa apenas de um usuário autenticado (PR:H no CVSS, mas “autorizado” no contexto do SharePoint pode significar um simples usuário de site), sem necessidade de privilégios administrativos. Isso transforma qualquer conta comprometida em um vetor de escalada para domínio total. A CISA sinalizou a inclusão no KEV com o prazo de remediação urgente, e agentes de ameaça já estão utilizando scanners automatizados para identificar instâncias vulneráveis expostas na internet.
Análise Técnica Detalhada da CVE-2026-45659 e a Desserialização Insegura
O mecanismo vulnerável reside no serviço Microsoft.Office.Server.Search.Internal.UI.WebControls e em componentes relacionados ao SerializationBinder do SharePoint. Em condições normais, o framework .NET oferece mecanismos para restringir quais tipos podem ser desserializados durante operações de reconstituição de objetos — é o chamado SerializationBinder personalizado. No entanto, a implementação do SharePoint para determinados endpoints legados (incluindo alguns conectores de eDiscovery e APIs de busca empresarial) permite bypassar essas restrições através de cadeias de gadgets polimórficos (gadget chains) que abusam de tipos disponíveis no próprio assembly do SharePoint e em bibliotecas do .NET Framework carregadas no contexto do IIS.
Tecnicamente, o ataque abusa do ObjectStateFormatter e de LosFormatter — dois serializadores intrínsecos do ASP.NET — através de um payload construído com ysoserial.net adaptado para os tipos expostos pelo SharePoint. A exploração típica envolve os seguintes passos conceituais em baixo nível:
- Enumeração de endpoints: o atacante mapeia URLs vulneráveis, como
/_vti_bin/client.svc,/_api/web/e caminhos específicos de serviços WCF que aceitam parâmetros serializados. - Autenticação mínima: com credenciais de usuário de site (obtidas via phishing, vazamentos de AD ou ataques de password spray), o atacante obtém um cookie de sessão ou token OAuth válido.
- Construção de payload: utilizando cadeias de gadgets baseadas em System.Windows.Data.ObjectDataProvider combinadas com System.Diagnostics.Process, o atacante encapsula o comando desejado em um blob serializado.
- Entrega do payload: o objeto serializado é enviado via POST para o endpoint vulnerável. O serializador nativo do SharePoint processa o blob, dispara a desserialização e executa o comando — tipicamente uma invocação do cmd.exe, PowerShell ou codificação de um downloader de malware.
- Pós-exploração: com execução de código no servidor, o atacante escala privilégios para SYSTEM usando ferramentas como JuicyPotatoNG em ambientes não atualizados, extrai o token Kerberos da conta do pool de aplicações e move-se lateralmente na rede.
A Microsoft classificou a vulnerabilidade com CVSS 7.2 (ALTO), mas em cenários de infraestrutura real, onde o SharePoint Server está frequentemente integrado ao Exchange, SQL Server e controladores de domínio, o impacto efetivo pode facilmente atingir severidade CRÍTICA. Afinal, o comprometimento do SharePoint frequentemente expõe o catálogo global do Active Directory e os segredos do cofre de credenciais do IIS. Na JRT Technology Solutions, nossa equipe de pesquisa de ameaças já identificou hashes de payloads maliciosos associados a essa exploração circulando em fóruns de threat actors desde o início da semana — evidência de que a vulnerabilidade estava sendo preparada para utilização coordenada.
Produtos e Versões Afetados pela CVE-2026-45659 Exploração Ativa Vulnerabilidade
A Microsoft confirmou que três grandes ramificações do SharePoint Server on-premises estão vulneráveis. É crucial entender que o SharePoint Online (Microsoft 365) não é afetado por esta CVE específica, pois a Microsoft aplicou hotfixes do lado do serviço antes da divulgação pública. No entanto, ambientes híbridos que utilizam SharePoint Server on-premises em conjunto com recursos cloud precisam ser avaliados com igual urgência, pois o vetor de ataque local pode ser usado como ponte para a nuvem via identidades federadas.
- 🟠 ALTO — Microsoft SharePoint Server 2016 (todas as edições, incluindo Standard e Enterprise, builds anteriores ao patch de julho de 2026)
- 🟠 ALTO — Microsoft SharePoint Server 2019 (todas as edições, incluindo as que utilizam o modo de compatibilidade de 2016)
- 🟠 ALTO — Microsoft SharePoint Server Subscription Edition (builds até o Cumulative Update de junho de 2026)
- 🟡 MÉDIO (risco indireto) — Project Server 2016/2019 instalado sobre o SharePoint Server afetado
- 🟡 MÉDIO (risco indireto) — Workflow Manager e componentes do Service Bus quando configurados com contas de pool compartilhadas com o SharePoint
Uma verificação rápida para saber se seu ambiente está exposto envolve inspecionar a versão do pacote Microsoft.Office.Server.Search.dll no Global Assembly Cache (GAC) do servidor. Versões anteriores à 16.0.5476.1000 (para SharePoint 2016), 16.0.10416.20000 (para 2019) e 16.0.15000.42000 (para Subscription Edition) indicam estado vulnerável. Na JRT Technology Solutions implementamos varredura contínua de CVEs para frotas corporativas, e nossa plataforma de gestão de vulnerabilidades já está executando verificações específicas para esses artefatos em todos os endpoints gerenciados. O MDM corporativo que operamos permite inclusive isolar servidores SharePoint não corrigidos da rede até que o patch seja aplicado, uma capacidade que pode fazer a diferença entre uma tentativa de intrusão bloqueada e um incidente de segurança completo.
Como Funciona a Exploração Ativa da Vulnerabilidade CVE-2026-45659 em Ambientes Reais
Diferentemente de exercícios de laboratório, a exploração no mundo real observada até agora combina a CVE-2026-45659 com técnicas de pós-exploração já consolidadas no arsenal de grupos de ameaça. Nossos analistas de inteligência correlacionaram os padrões de ataque com campanhas atribuídas ao grupo APT-29 (Cozy Bear) e a células do ecossistema de ransomware Black Basta, ambos com histórico de exploração de falhas de desserialização em produtos Microsoft. O modus operandi identificado até o momento segue uma cadeia de ataque (kill chain) bem definida:
- Reconhecimento: varredura em massa utilizando queries no Shodan e Censys por servidores SharePoint expostos (busca por
X-SharePointHealthScorenos headers HTTP). - Acesso inicial: campanhas de spear-phishing direcionadas a funcionários com acesso ao SharePoint, utilizando temas de “atualização de conformidade” e “documentos compartilhados urgentes” como isca.
- Autenticação e envio de payload: uma vez com credenciais válidas, o atacante autentica-se na API vulnerável e transmite o objeto serializado malicioso.
- Execução e estabelecimento de persistência: o comando executado tipicamente implanta um web shell disfarçado como um arquivo de tema (
.masterou.aspx) em bibliotecas de documentos, garantindo acesso contínuo. - Movimento lateral: roubo de tokens Kerberos e senhas em cache do LSASS usando variantes modificadas do Mimikatz, com subsequente propagação para controladores de domínio.
- Ação sobre objetivos: exfiltração de documentos via C2 sobre HTTPS, criptografia de bases SQL do SharePoint (variante do ransomware) e, em alguns casos, venda imediata de acesso na dark web.
Um detalhe preocupante: há evidências de que ao menos um grupo está explorando a falha para enviar e-mails internos de phishing a partir do próprio servidor SharePoint comprometido, utilizando as listas de distribuição do Active Directory, o que amplifica drasticamente o alcance do ataque inicial. Isso torna a correção ainda mais urgente, pois o SharePoint comprometido se torna uma plataforma de disparo de ataques para toda a organização.
Impacto Real da CVE-2026-45659 para Empresas e Implicações Regulatórias
O impacto de uma exploração bem-sucedida da CVE-2026-45659 transcende a interrupção de serviços. Estamos falando do comprometimento total do repositório central de conhecimento e colaboração da empresa. O SharePoint geralmente abriga contratos, estratégias de negócio, dados de RH, informações de clientes, documentos de fusões e aquisições e, em muitos casos, é o repositório de registros de compliance. Um atacante com execução de código no servidor SharePoint pode:
- Roubar dados sensíveis: acesso irrestrito a todas as bibliotecas de documentos, listas e bancos de conteúdo SQL associados, incluindo dados criptografados em repouso (pois as chaves estão disponíveis no servidor).
- Interromper operações: desfiguração de portais, exclusão de sites, criptografia de bibliotecas de documentos (ransomware) e paralisação de fluxos de trabalho críticos.
- Usar o SharePoint como trampolim: movimento lateral para servidores SQL, Exchange, Controladores de Domínio e até mesmo ambientes em nuvem via credenciais de serviço armazenadas.
- Violar conformidade: sob regulamentações como LGPD, GDPR, PCI-DSS e HIPAA, a perda de dados pessoais ou de titulares de cartão armazenados no SharePoint pode resultar em multas milionárias e notificações obrigatórias em até 72 horas.
No contexto da LGPD brasileira, a ANPD exige que medidas técnicas adequadas sejam implementadas para proteger dados pessoais. A falha em aplicar um patch de segurança disponível para uma vulnerabilidade ativamente explorada pode ser interpretada como negligência na adoção de medidas razoáveis de proteção, agravando eventuais sanções. Da mesma forma, o PCI-DSS versão 4.0, requisito 6.3.1, exige que vulnerabilidades críticas sejam remediadas dentro de prazos definidos com base no risco. Nossa prática na JRT Technology Solutions é alinhar cada CVE crítica com os respectivos frameworks de compliance de nossos clientes, gerando relatórios de evidência de correção que podem ser utilizados em auditorias. Nosso SOC monitora alertas CISA KEV em tempo real e já está notificando clientes sobre a CVE-2026-45659 com recomendações customizadas para cada ambiente.
Outras Vulnerabilidades Críticas no Radar — Contexto de Hoje
Embora o foco deste alerta seja a CVE-2026-45659, não podemos ignorar que hoje também foi confirmada a exploração ativa da CVE-2026-48558, uma falha de bypass de autenticação no SimpleHelp que permite a um atacante não autenticado forjar tokens OIDC e obter sessão totalmente autenticada como técnico. Essa segunda vulnerabilidade é particularmente relevante para provedores de serviços gerenciados (MSPs) e equipes de suporte remoto que utilizam o SimpleHelp como ferramenta de acesso a clientes. O cenário combinado é grave: um atacante poderia usar o bypass do SimpleHelp para acessar remotamente estações de trabalho de clientes e, a partir delas, mirar em servidores SharePoint vulneráveis expostos na rede interna.
Além disso, a Adobe lançou patches para 7 vulnerabilidades de severidade máxima (CVSS 10.0) no ColdFusion e Campaign Classic, e a Cisco divulgou uma falha de leitura arbitrária de arquivos no Catalyst Center. Portanto, o dia de hoje é particularmente pesado para as equipes de segurança. Recomendamos uma abordagem de triagem baseada em risco: priorize a correção da CVE-2026-45659 em servidores SharePoint expostos, depois trate o SimpleHelp (especialmente se for usado em produção), e na sequência avalie os patches Adobe e Cisco conforme a exposição de cada ambiente.
Como se Proteger — Passos de Mitigação e Remediação Urgente para a CVE-2026-45659
A correção dessa vulnerabilidade requer uma ação imediata e coordenada. Abaixo, listamos os passos essenciais que devem ser executados agora mesmo, com instruções específicas para cada etapa.
- 🛡️ Aplicar o patch oficial da Microsoft IMEDIATAMENTE
A Microsoft lançou uma atualização de segurança fora de ciclo para SharePoint Server 2016, 2019 e Subscription Edition. Acesse o Microsoft Update Catalog e baixe o pacote correspondente à sua versão. O patch corrige o SerializationBinder para recusar tipos não permitidos e adiciona uma nova validação de assinatura em endpoints WCF legados. A instalação requer reinicialização do pool de aplicações do IIS, portanto planeje uma janela de manutenção breve — mas não adie: o risco de manter o sistema vulnerável é muito maior que o impacto de alguns minutos de indisponibilidade. - 🔒 Implementar regra de WAF (Web Application Firewall)
Enquanto o patch é aplicado, ou como camada adicional de defesa, configure seu WAF (Azure Application Gateway, Cloudflare, Imperva, F5, etc.) para bloquear requisições que contenham cadeias de tipos .NET suspeitas no corpo da requisição. Assinaturas relevantes incluem padrões comoSystem.Windows.Data.ObjectDataProvider,System.Diagnostics.Process,System.Configuration.Install.AssemblyInstallereSystem.Activities.Presentation.WorkflowDesigner. - 🔐 Revisar e restringir permissões de usuários
Audite as permissões de usuários no SharePoint. Mínimo privilégio é a regra: remova usuários do grupo “Proprietários” que não precisam de acesso total, restrinja o acesso anônimo onde possível e implemente autenticação multifator (MFA) para todos os acessos externos ao SharePoint. Lembre-se de que a exploração requer um usuário autenticado — reduzir o número de contas com acesso e aplicar MFA diminui significativamente a superfície de ataque. - 📊 Monitorar logs do IIS e do SharePoint ULS
Procure por padrões anômalos nos logs: requisições POST para endpoints/_vti_bin/e/_api/com payloads grandes e conteúdo binário, erros de desserialização nos logs ULS (eventos com categorias “Serialization” e “General” contendo exceções de tipo), e criação suspeita de arquivos.aspxem bibliotecas de documentos. Nosso SOC na JRT Technology Solutions utiliza detecções comportamentais para sinalizar esses padrões em tempo real. - 🧪 Executar verificação de comprometimento (IoC scan)
Utilize o script Test-SPContentDatabase e ferramentas como Microsoft Safety Scanner para procurar web shells e artefatos maliciosos no servidor SharePoint. Indicadores de comprometimento incluem arquivos.aspxnão reconhecidos emC:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\, entradas de tarefas agendadas executando cmd.exe sob a conta do pool de aplicações e conexões de saída para IPs desconhecidos em portas altas. - 📁 Isolar servidores críticos via segmentação de rede
Até que a correção seja concluída, restrinja a comunicação de entrada e saída dos servidores SharePoint para apenas os IPs e portas estritamente necessários. Em particular, evite que servidores SharePoint tenham rota direta para a internet se eles não precisam estar expostos publicamente. Use NSGs em ambientes Azure ou VLANs isoladas on-premises. Nossa plataforma de MDM corporativo permite aplicar políticas de firewall de host rapidamente em toda a frota de servidores Windows gerenciados.
Verificação Pós-Patch — Como Confirmar que a Correção da CVE-2026-45659 Foi Eficaz
Após a aplicação do patch, é fundamental realizar testes de validação para garantir que a vulnerabilidade foi realmente fechada e que nenhuma brecha permaneceu — seja por instalação incompleta ou por presença de backdoors implantadas antes da correção.
- Validar a versão dos assemblies corrigidos: navegue até o GAC (
C:\Windows\Microsoft.NET\assembly\GAC_MSIL\) e confirme que a versão do arquivoMicrosoft.Office.Server.Search.dllé igual ou superior à versão corrigida. Utilize o PowerShell:Get-ChildItem -Path "C:\Windows\assembly" -Recurse -Filter "Microsoft.Office.Server.Search.dll" | Select FullName, VersionInfo. - Testar o endpoint vulnerável: com credenciais de teste (não administrativas), envie uma requisição benigna que simule a estrutura do payload malicioso, mas sem carga real. A resposta do servidor após o patch deve ser um erro controlado (HTTP 500 com mensagem de tipo não permitido) em vez de processamento normal ou timeouts indicativos de execução.
- Executar o script de verificação de segurança da Microsoft: a Microsoft disponibilizou o SharePoint Vulnerability Assessment Tool (SVAT) atualizado com a detecção para CVE-2026-45659. Execute-o em todos os servidores do farm.
- Revisar as configurações de SerializationBinder: confirme no arquivo
web.configde cada aplicação web SharePoint que a entrada<serializationBinder>está presente e apontando para a nova classe restritiva fornecida pelo patch. - Analisar os logs ULS pós-patch: monitore por 24 horas após a correção para garantir que não haja novas tentativas de exploração bem-sucedidas (indicando que um atacante já estabeleceu presença e está tentando reaplicar o payload).
Se durante a verificação for identificada qualquer evidência de comprometimento prévio, o protocolo de resposta a incidentes deve ser ativado imediatamente: isole o servidor, troque credenciais de contas de serviço, redefina senhas de todos os usuários que autenticaram no servidor nos últimos 90 dias e conduza uma análise forense completa. A JRT Technology Solutions oferece serviços de resposta a incidentes e análise forense digital para apoiar organizações nesse processo crítico, com equipe disponível 24×7.
Contexto Histórico e Comparativo — Por Que Esta CVE-2026-45659 se Destaca
A CVE-2026-45659 exploração ativa vulnerabilidade não é a primeira falha de desserialização no SharePoint, mas é a primeira desde a CVE-2020-1147 e CVE-2022-21837
Sua empresa está protegida contra esta vulnerabilidade?
A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.