CVE-2026-45659: Exploração Ativa em SharePoint Exige Ação Imediata

CVE-2026-45659: Exploração Ativa em SharePoint Exige Ação Imediata
⚠️

ALERTA CISA KEV — Exploração Ativa Confirmada

Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.

Na manhã deste sábado, 4 de julho de 2026, a comunidade de segurança da informação foi sacudida por um alerta de máxima urgência: a CVE-2026-45659, uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft SharePoint Server, entrou oficialmente para o catálogo KEV (Known Exploited Vulnerabilities) da CISA — a agência americana de cibersegurança. O motivo? A exploração ativa desta vulnerabilidade já foi confirmada em ambientes corporativos ao redor do mundo, configurando um cenário de zero-day com janela zero de proteção para organizações que ainda não aplicaram as correções. Se sua empresa opera SharePoint Server on-premises ou em configurações híbridas, este é o momento de interromper qualquer atividade de rotina e concentrar todos os esforços na remediação imediata.

A entrada de uma vulnerabilidade no catálogo KEV da CISA não é um evento trivial. Significa que agências federais americanas e, por extensão, toda a indústria global de segurança, reconhecem que há atores maliciosos ativamente varrendo a internet em busca de servidores vulneráveis. A CVE-2026-45659 permite que um atacante autorizado — ou seja, alguém que já possui algum nível de credencial no ambiente SharePoint — execute código arbitrário remotamente através da rede. Isso transforma qualquer conta comprometida, mesmo que com privilégios mínimos, em um vetor para tomada completa do servidor. O impacto potencial sobre a tríade confidencialidade, integridade e disponibilidade dos dados é absoluto.

O que torna este cenário particularmente perigoso é a natureza insidiosa de vulnerabilidades de desserialização. Diferentemente de um SQL Injection ou um Cross-Site Scripting, que frequentemente deixam assinaturas detectáveis em logs de aplicação, ataques de desserialização exploram o funcionamento interno do runtime da plataforma — no caso, o .NET Framework subjacente ao SharePoint. O payload malicioso trafega como parte legítima do estado de objetos serializados, tornando a detecção por sistemas tradicionais de IDS/IPS significativamente mais difícil. Na JRT Technology Solutions, nosso SOC já está monitorando alertas CISA KEV em tempo real e implementamos varredura contínua de CVEs para frotas corporativas, precisamente para responder a emergências como esta com a velocidade que o cenário exige.

Para profissionais de TI e equipes de segurança, o relógio está correndo. A diferença entre uma organização que contém o ataque nas primeiras horas e outra que sofre uma intrusão completa frequentemente se resume à agilidade na aplicação de patches e na implementação de controles compensatórios. Neste artigo técnico, você encontrará tudo o que precisa saber sobre a CVE-2026-45659: a anatomia da falha, os vetores de ataque, as versões afetadas, os passos práticos de mitigação, os procedimentos de verificação pós-patch e o contexto histórico que torna esta vulnerabilidade um marco preocupante na evolução das ameaças contra plataformas de colaboração empresarial.

O que é a CVE-2026-45659 — Desserialização Insegura no SharePoint Server

A CVE-2026-45659 é classificada como uma vulnerabilidade de desserialização de dados não confiáveis (CWE-502: Deserialization of Untrusted Data) que afeta o Microsoft SharePoint Server. Em termos práticos, o SharePoint utiliza serialização para converter objetos complexos da plataforma em formatos transmissíveis pela rede — como XML ou JSON — e posteriormente reconstrói (desserializa) esses objetos no destino. O problema surge quando o processo de desserialização não valida adequadamente a origem e a integridade dos dados recebidos, permitindo que um atacante injete objetos maliciosos que, ao serem reconstruídos pelo servidor, disparam a execução de comandos arbitrários no contexto do próprio serviço SharePoint.

A vulnerabilidade recebeu um score CVSS de 8.8, posicionando-a na faixa HIGH de severidade. Embora não atinja o patamar crítico de 9.0 ou superior, a combinação de exploração ativa confirmada com a facilidade de execução — basta estar autenticado na rede, sem necessidade de privilégios administrativos — eleva o risco real a níveis que justificam o alerta máximo. A Microsoft, em seu boletim de segurança, enfatizou que o vetor de ataque é baseado em rede (network-based), com baixa complexidade de ataque e sem necessidade de interação do usuário, o que significa que o exploit pode ser automatizado em larga escala.

Para compreender a gravidade, é útil situar a desserialização insegura no panorama geral de vulnerabilidades. Este tipo de falha tem sido consistentemente explorado em frameworks Java, .NET, PHP e Python ao longo da última década. O caso mais emblemático talvez seja a cadeia de exploração do Apache Struts que levou ao breach da Equifax em 2017. No ecossistema Microsoft, vulnerabilidades de desserialização no SharePoint e no Exchange têm aparecido com frequência crescente, sugerindo que atacantes estão refinando técnicas específicas para plataformas corporativas que concentram grandes volumes de dados sensíveis. A CVE-2026-45659 é a mais recente — e atualmente a mais perigosa — iteração dessa tendência.

Campo Detalhe
CVE ID CVE-2026-45659
CVSS Score 8.8 — HIGH
Vetor de Ataque Network
Produtos Afetados Microsoft SharePoint Server 2019, 2021, Subscription Edition
Tipo de Vulnerabilidade CWE-502 — Desserialização de Dados Não Confiáveis
Data de Publicação 04/07/2026
Patch Disponível Sim — Microsoft Security Update Julho 2026
Exploração Ativa ⚠️ SIM — CISA KEV confirmada

Análise Técnica Detalhada da CVE-2026-45659 — Exploração Ativa e Mecanismos da Vulnerabilidade

Do ponto de vista estritamente técnico, a CVE-2026-45659 reside no componente de processamento de objetos serializados do SharePoint Server, especificamente no pipeline que gerencia o estado de Web Parts e controles de interface armazenados em listas e bibliotecas de documentos. O SharePoint utiliza extensivamente o BinaryFormatter e, em algumas configurações, o NetDataContractSerializer do .NET Framework para persistir e transmitir o estado de componentes entre o front-end e o back-end. Quando um usuário autenticado interage com uma página que contém Web Parts personalizadas ou incorpora metadados complexos, o servidor desserializa objetos que representam esses componentes. A falha está na ausência de um SerializationBinder restritivo que limite os tipos que podem ser desserializados a uma lista segura (allowlist) pré-definida.

O mecanismo de exploração segue o clássico padrão de gadget chains no .NET. Um atacante autenticado envia uma requisição HTTP especialmente construída contendo um payload serializado que, ao ser processado pelo ObjectStateFormatter ou pelo LosFormatter (formatadores usados internamente pelo SharePoint para gerenciar o estado de controle), força a instanciação de uma cadeia de objetos aparentemente inofensivos que culmina na execução de código arbitrário. Gadgets comuns em ataques contra o .NET incluem classes como System.Windows.Data.ObjectDataProvider, System.Management.Automation.PSObject e System.Configuration.Install.AssemblyInstaller, que podem ser encadeadas para carregar assemblies maliciosos da memória ou do disco, contornando restrições de segurança.

Um aspecto particularmente preocupante da CVE-2026-45659 é que o ponto de entrada para o payload malicioso pode ser qualquer funcionalidade do SharePoint que aceite entrada de dados serializados de um usuário autenticado. Isso inclui, mas não se limita a: upload de arquivos com metadados manipulados, criação de itens de lista com valores de campo contendo cargas serializadas, e interações com APIs REST do SharePoint que aceitam objetos complexos. A superfície de ataque é, portanto, significativamente ampla, o que explica por que a exploração ativa foi detectada tão rapidamente após a divulgação inicial da vulnerabilidade.

A confirmação da CISA sobre a exploração ativa da CVE-2026-45659 veio acompanhada de indicadores de comprometimento (IoCs) preliminares que apontam para campanhas de ransomware e espionagem corporativa. Grupos de ameaça conhecidos por alvejar plataformas Microsoft, como o FIN7, APT29 (Cozy Bear) e afiliados do ecossistema LockBit, possuem histórico documentado de exploração de vulnerabilidades de desserialização em servidores corporativos. Embora a atribuição definitiva ainda esteja em andamento, a velocidade de weaponização sugere que códigos de prova de conceito (PoCs) podem ter circulado em fóruns privados dias ou até semanas antes da divulgação pública oficial.

Produtos e Versões Afetados pela CVE-2026-45659

A Microsoft confirmou que a CVE-2026-45659 afeta as seguintes edições do SharePoint Server em ambientes on-premises e configurações híbridas. É crucial notar que o SharePoint Online (Microsoft 365) já recebeu as correções automaticamente através dos pipelines de atualização contínua da Microsoft e não está vulnerável no momento desta publicação. No entanto, organizações que operam instâncias locais ou mantêm farms híbridos conectados ao SharePoint Online precisam agir manualmente.

  • 🟠 Microsoft SharePoint Server 2019 — Todas as edições (Standard e Enterprise), todas as atualizações cumulativas anteriores ao patch de julho de 2026.
  • 🟠 Microsoft SharePoint Server 2021 — Todas as edições, todas as builds anteriores ao security update de 4 de julho de 2026.
  • 🟠 Microsoft SharePoint Server Subscription Edition — Versões lançadas antes do patch de julho de 2026. Clientes com atualizações automáticas habilitadas podem já ter recebido a correção, mas a verificação manual é obrigatória.
  • 🟡 Microsoft SharePoint Foundation 2013 — Embora fora do suporte estendido, ambientes que ainda operam esta versão devem considerar a possibilidade de estarem vulneráveis a variantes do mesmo vetor de ataque e devem migrar imediatamente para versões suportadas.

É importante destacar que servidores SharePoint configurados com autenticação baseada em claims, Windows Authentication ou Forms-Based Authentication (FBA) são igualmente suscetíveis. O requisito mínimo para exploração é que o atacante possua uma conta válida no domínio ou no provedor de identidade configurado para o farm. Isso inclui contas de convidados externos em cenários de colaboração B2B, um vetor que amplia dramaticamente a superfície de exposição em organizações que utilizam o SharePoint para compartilhamento com parceiros e fornecedores.

Na JRT Technology Solutions, recomendamos que organizações realizem um inventário completo de todos os servidores SharePoint em operação — incluindo ambientes de desenvolvimento, teste e disaster recovery — antes de iniciar o processo de aplicação de patches. Nossa experiência em gestão de vulnerabilidades para frotas corporativas mostra que servidores esquecidos ou fora do radar da equipe de TI são frequentemente o ponto de entrada para atacantes que exploram vulnerabilidades como a CVE-2026-45659.

Como o Ataque Explora a CVE-2026-45659 — Exploração Ativa da Vulnerabilidade em Ambientes Reais

Compreender o fluxo de ataque é essencial para que equipes de segurança possam identificar tentativas de exploração em logs e implementar detecções comportamentais enquanto o patch não é aplicado. O cenário típico de exploração da CVE-2026-45659 segue uma sequência de etapas que, embora tecnicamente sofisticadas, podem ser executadas de forma totalmente automatizada por ferramentas de exploitation modernas.

  1. Reconhecimento e Enumeração — O atacante realiza varreduras na rede (frequentemente utilizando serviços como Shodan, Censys ou FOFA) para identificar servidores SharePoint expostos. Headers HTTP característicos, como MicrosoftSharePointTeamServices e X-SharePointHealthScore, facilitam a identificação precisa da versão. Ferramentas como SharePointScan e módulos do Metasploit automatizam essa fase.
  2. Aquisição de Credenciais — Como a CVE-2026-45659 exige autenticação, o atacante precisa de uma conta válida. Isso pode ser obtido através de ataques de password spraying, credential stuffing com bases de dados vazadas, campanhas de phishing direcionado ou compra de credenciais corporativas em mercados ilícitos. Uma única conta de usuário com privilégios mínimos é suficiente para iniciar o ataque.
  3. Preparação do Payload Desserializado — Utilizando o gadget chain adequado para a versão do .NET Framework em execução no servidor alvo, o atacante constrói um objeto serializado malicioso. Ferramentas como ysoserial.net (o equivalente .NET do famoso ysoserial para Java) geram payloads que, quando desserializados, estabelecem uma reverse shell, executam comandos via cmd.exe ou PowerShell, ou carregam módulos diretamente na memória do processo w3wp.exe.
  4. Entrega do Payload — O objeto serializado malicioso é injetado em uma requisição HTTP para o SharePoint. Os vetores de entrega conhecidos incluem: envio de um arquivo .aspx ou .ashx com metadados manipulados para uma biblioteca de documentos; criação de um item de lista personalizada com campos contendo o payload; ou envio direto do payload serializado para endpoints da API REST como /_api/web/lists ou /_vti_bin/client.svc.
  5. Execução de Código Arbitrário — Quando o servidor SharePoint processa a requisição e desserializa o objeto malicioso, a cadeia de gadgets é ativada, resultando na execução de código no contexto de segurança da aplicação. O atacante obtém um shell com os privilégios da conta de serviço do pool de aplicativos SharePoint (tipicamente DOMAIN\SP_WebApp ou similar).
  6. Escalação de Privilégios e Movimentação Lateral — A partir do comprometimento inicial, o atacante realiza reconhecimento interno, busca por credenciais armazenadas em arquivos de configuração (web.config, appSettings.json), tenta escalar para SYSTEM ou Administrador de Domínio utilizando ferramentas como Mimikatz ou Impacket, e se move lateralmente para servidores de banco de dados SQL Server, controladores de domínio e outros ativos críticos.

A exploração ativa em curso foi observada utilizando infraestrutura de comando e controle (C2) hospedada em provedores de nuvem legítimos, dificultando o bloqueio por geolocalização ou reputação de IP. Os payloads frequentemente utilizam técnicas de Living Off the Land (LotL), abusando de ferramentas nativas do Windows como PowerShell, BITSAdmin e Certutil para download de estágios adicionais, o que reduz significativamente a detecção por antivírus tradicionais.

Impacto Real para Empresas — Consequências da Exploração Ativa da CVE-2026-45659

O impacto de uma exploração bem-sucedida da CVE-2026-45659 vai muito além do comprometimento técnico do servidor SharePoint. Em ambientes corporativos típicos, o SharePoint atua como hub central de colaboração, armazenando documentos estratégicos, informações de RH, dados financeiros, contratos legais e propriedade intelectual. Um atacante que obtém acesso ao servidor efetivamente ganha um assento na primeira fila para os segredos mais sensíveis da organização. As ramificações se desdobram em múltiplas dimensões que equipes de segurança e liderança executiva precisam compreender com clareza.

Perda de Confidencialidade e Vazamento de Dados: O SharePoint contém repositórios estruturados de informações que são o alvo primário de atores de espionagem corporativa. Documentos de P&D, estratégias de mercado, informações de fusões e aquisições, dados de clientes e parceiros — tudo isso se torna imediatamente acessível. Em cenários de ransomware, os dados são exfiltrados antes da criptografia para aumentar a pressão sobre a vítima. Sob a LGPD (Lei Geral de Proteção de Dados) no Brasil, um incidente desta natureza envolvendo dados pessoais de clientes ou funcionários pode resultar em multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração. O GDPR europeu e a CCPA californiana impõem sanções ainda mais severas para organizações com operações internacionais.

Interrupção Operacional e Paralisação de Processos: O SharePoint é frequentemente a espinha dorsal de processos de negócio que dependem de fluxos de trabalho, aprovações e gerenciamento de documentos. A criptografia de bibliotecas inteiras por ransomware ou a simples indisponibilidade do serviço durante a contenção do incidente pode paralisar departamentos inteiros. Em setores regulados como financeiro, saúde e energia, a interrupção de sistemas de gestão documental pode violar requisitos de PCI-DSS, HIPAA ou regulações setoriais da ANPD e do Banco Central, gerando notificações compulsórias e auditorias extraordinárias.

Comprometimento em Cascata da Infraestrutura: O servidor SharePoint tipicamente possui conexões autenticadas com bancos de dados SQL Server que armazenam não apenas o conteúdo do portal, mas também configurações de farm, contas de serviço e, em alguns casos, credenciais de terceiros integradas via Secure Store Service. O comprometimento do SharePoint frequentemente serve como trampolim para ataques contra a camada de dados, controladores de domínio Active Directory e outros serviços corporativos que confiam no servidor SharePoint como parte da malha de autenticação integrada do Windows.

Custos de Remediação e Danos Reputacionais: Além dos custos diretos de resposta a incidentes — que frequentemente envolvem contratação de firmas forenses especializadas, horas extras da equipe interna de TI, aquisição emergencial de ferramentas de detecção e possível pagamento de resgate —, o dano reputacional pode se estender por anos. Clientes corporativos exigem cada vez mais garantias contratuais de segurança, e um incidente grave de segurança envolvendo exploração ativa de uma vulnerabilidade conhecida e corrigível é frequentemente interpretado como falha de governança de TI. Na JRT Technology Solutions, implementamos varredura contínua de CVEs para frotas corporativas exatamente para evitar que nossos clientes enfrentem este tipo de exposição, com dashboards em tempo real que permitem aos CISOs demonstrar conformidade e postura de segurança para stakeholders internos e externos.

Como se Proteger — Passos de Mitigação e Remediação para a CVE-2026-45659

A remediação da CVE-2026-45659 exige uma abordagem em múltiplas camadas, combinando a aplicação urgente do patch com controles compensatórios que reduzam o risco durante a janela de implementação e ofereçam camadas adicionais de defesa contra futuras vulnerabilidades de desserialização. Abaixo, detalhamos o passo a passo completo que toda organização deve executar, priorizando ações com base no nível de exposição e criticidade dos servidores SharePoint.

  1. Aplicar o Patch de Segurança da Microsoft — Julho 2026 (AÇÃO IMEDIATA)
    O patch oficial para a CVE-2026-45659 está disponível através do Microsoft Update Catalog, WSUS e Microsoft Endpoint Configuration Manager. O pacote de atualização deve ser aplicado em todos os servidores do farm SharePoint, incluindo servidores de aplicação, front-ends web e servidores de batch processing. A ordem de aplicação recomendada pela Microsoft é: primeiro os servidores de aplicação, depois os front-ends web, e por último os servidores de banco de dados (se a atualização incluir componentes de banco). Após a aplicação, o SharePoint Products Configuration Wizard deve ser executado em cada servidor para completar a atualização do schema do banco de dados de configuração.

  2. Implementar Controles Compensatórios Imediatos (Enquanto o Patch é Aplicado)
    Durante a janela de aplicação do patch — que pode levar horas em farms grandes —, implemente as seguintes medidas de contenção:

    • Restringir o acesso ao SharePoint a redes internas confiáveis via firewall ou VPN, removendo temporariamente qualquer exposição pública.
    • Desabilitar a autenticação de usuários externos (B2B) até que o patch seja confirmado em todos os servidores.
    • Ativar logging detalhado no IIS para capturar headers completos e bodies de requisições suspeitas, focando em endpoints que aceitam dados serializados.
    • Configurar regras no Web Application Firewall (WAF) para inspecionar e bloquear requisições que contenham padrões de serialização .NET (assinaturas de BinaryFormatter, NetDataContractSerializer, LosFormatter).

  3. Realizar Caça a Ameaças (Threat Hunting) nos Servidores Afetados
    Assumindo que a exploração ativa pode já ter ocorrido antes da aplicação do patch, execute uma varredura de comprometimento:

    • Verifique logs do IIS em busca de requisições anômalas para endpoints como /_vti_bin/, /_api/ e /_layouts/ com métodos POST contendo payloads extensos ou binários.
    • Analise processos em execução nos servidores SharePoint em busca de instâncias de cmd.exe ou powershell.exe como filhos do processo w3wp.exe.
    • Examine tarefas agendadas e chaves de registro (Run, RunOnce) criadas recentemente que possam indicar persistência do atacante.
    • Revise os logs de autenticação do Active Directory em busca de múltiplas falhas seguidas de sucesso para contas de serviço — um indicador clássico de password spraying.

  4. Reforçar a Configuração de Segurança do SharePoint
    Após a remediação imediata, implemente configurações de hardening que reduzam a superfície de ataque para futuras vulnerabilidades:

    • Configure um SerializationBinder personalizado que restrinja a desserialização apenas a tipos explicitamente permitidos (allowlist). Embora esta seja uma alteração de código que requer desenvolvimento, existem módulos de terceiros que podem ser implementados como proxies.
    • Habilite o Antimalware Scan Interface (AMSI) integrado do SharePoint para inspecionar conteúdo serializado em uploads de arquivos.
    • Implemente Just-In-Time (JIT) access para contas administrativas do SharePoint, reduzindo a janela de exposição de credenciais privilegiadas.
    • Configure Network Level Authentication (NLA) e Kerberos Constrained Delegation

Sua empresa está protegida contra esta vulnerabilidade?

A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.



Verificar Agora

Thiago Paes Rodrigues

Com mais de 22 anos de experiência em Tecnologia da Informação, este profissional construiu uma trajetória sólida como empresário, atuando de forma estratégica na implementação de soluções tecnológicas que otimizam processos e impulsionam resultados em diferentes setores.