CVE-2026-45659: Falha HIGH no SharePoint Server Sob Exploração Ativa

CVE-2026-45659: Falha HIGH no SharePoint Server Sob Exploração Ativa
⚠️

ALERTA CISA KEV — Exploração Ativa Confirmada

Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.

Neste domingo, 5 de julho de 2026, a comunidade de segurança da informação amanheceu com um alerta que não pode ser ignorado: a CVE-2026-45659, uma vulnerabilidade de desserialização de dados não confiáveis no Microsoft SharePoint Server, acaba de ser adicionada ao catálogo KEV (Known Exploited Vulnerabilities) da CISA, com confirmação de exploração ativa em ambientes corporativos ao redor do mundo. A CVE-2026-45659 exploração ativa vulnerabilidade é, neste momento, o termo que define o estado de alerta máximo para equipes de TI, CISOs e SOCs que operam infraestruturas Windows e dependem do SharePoint como plataforma crítica de colaboração, gestão documental e intranet corporativa. A entrada desta CVE no catálogo KEV não é um exercício teórico — é a materialização de uma ameaça que já está em curso, com atacantes autorizados explorando a falha para executar código arbitrário remotamente, comprometer servidores e estabelecer persistência em redes empresariais.

O que torna este cenário particularmente perigoso é a natureza da vulnerabilidade: uma falha de desserialização de dados não confiáveis. Diferentemente de vetores que exigem interação do usuário ou privilégios administrativos prévios, a CVE-2026-45659 permite que um atacante autorizado — ou seja, alguém que já possui credenciais válidas de baixo privilégio no SharePoint — dispare a execução remota de código (RCE) sobre a rede. Isso significa que um insider mal-intencionado, uma conta comprometida via phishing ou uma credencial vazada em breaches anteriores são suficientes para transformar um acesso legítimo em um vetor de comprometimento total do servidor SharePoint. Em um ecossistema onde o SharePoint frequentemente atua como espinha dorsal de fluxos de trabalho, repositório de documentos sensíveis e integração com Microsoft 365, Active Directory e Exchange, o raio de impacto de uma exploração bem‑sucedida é massivo — afetando desde a confidencialidade de dados estratégicos até a continuidade operacional de departamentos inteiros.

Para empresas que operam sob frameworks regulatórios como LGPD, GDPR, PCI‑DSS e HIPAA, a CVE-2026-45659 exploração ativa vulnerabilidade introduz um vetor de não‑conformidade com potencial de multas severas, notificação obrigatória a autoridades e danos reputacionais de difícil reparação. A CISA, ao inscrever esta falha no catálogo KEV, estabelece um prazo vinculante para agências federais norte‑americanas corrigirem a vulnerabilidade — mas a recomendação se estende, na prática, a qualquer organização que utilize as versões afetadas do SharePoint Server. Ignorar este alerta é, literalmente, operar com as portas abertas para atacantes que já conhecem o caminho, já desenvolveram exploits funcionais e já estão lucrando com a invasão de ambientes desprotegidos. Neste artigo técnico, vamos detalhar a anatomia da falha, os vetores de ataque observados em campo, as versões comprovadamente vulneráveis, os passos exatos de mitigação e o papel que um SOC proativo — como o time de analistas da JRT Technology Solutions — desempenha na detecção precoce e na contenção de ameaças dessa magnitude.

O que é a CVE-2026-45659 e por que sua exploração ativa exige resposta imediata

A CVE-2026-45659 é uma vulnerabilidade classificada como Desserialização de Dados Não Confiáveis (CWE‑502) que reside no núcleo de processamento de requisições do Microsoft SharePoint Server. Em termos simples, o SharePoint, em determinadas operações, recebe dados serializados de fontes externas — como parâmetros de requisições HTTP, pacotes de objetos ou metadados de documentos — e os reconstrói (desserializa) em objetos na memória do servidor sem realizar as devidas verificações de integridade e origem. Um atacante que compreenda a estrutura desses dados serializados pode injetar um payload malicioso que, ao ser desserializado, força o servidor a executar comandos arbitrários no contexto de segurança do processo do SharePoint. O resultado prático é uma execução remota de código (RCE) com os privilégios da conta de serviço do SharePoint, que tipicamente possui acesso amplo ao sistema de arquivos, bancos de dados SQL Server associados, e — dependendo da arquitetura — tokens de autenticação para movimentação lateral no domínio Active Directory.

Campo Detalhe
CVE ID CVE-2026-45659
CVSS Score 8.8 — HIGH (CVSS v3.1)
Vetor de Ataque Network (Adjacente à rede corporativa)
Produtos Afetados Microsoft SharePoint Server 2016, 2019, Subscription Edition
Tipo de Vulnerabilidade CWE‑502 — Desserialização de Dados Não Confiáveis
Data de Publicação 05/07/2026
Patch Disponível Sim — Microsoft Security Update Julho 2026
Exploração Ativa ⚠️ SIM — CISA KEV confirmada

Diferentemente de vulnerabilidades que exigem condições complexas ou acesso físico, a CVE-2026-45659 se destaca pela facilidade relativa de exploração e pela superfície de ataque exposta. O fato de exigir apenas que o atacante esteja autorizado (possuindo uma conta válida com o mínimo de privilégios) reduz drasticamente a barreira de entrada — contas de convidados, ex‑funcionários cujas credenciais não foram desativadas, fornecedores com acesso temporário ou qualquer credencial capturada em campanhas de phishing são suficientes para iniciar a cadeia de ataque. A CISA, ao inscrever esta CVE no KEV, sinalizou que há evidências de exploração ativa em escala, o que geralmente indica que grupos de ameaça já estão utilizando a falha em campanhas direcionadas ou em ataques oportunistas de varredura em massa. A CVE-2026-45659 exploração ativa vulnerabilidade é, portanto, um alerta que não admite hesitação — cada hora sem patch representa uma janela de exposição que pode resultar em comprometimento irreversível.

Na JRT Technology Solutions, nosso SOC monitora alertas CISA KEV em tempo real e já acionou os protocolos de varredura contínua de CVEs em todas as frotas corporativas sob nossa gestão. A experiência acumulada na resposta a incidentes envolvendo desserialização no ecossistema Microsoft — como os casos históricos do Exchange (ProxyLogon, ProxyShell) e do próprio SharePoint (CVE‑2022‑38023, CVE‑2023‑24955) — nos mostra que essas falhas são particularmente atraentes para atacantes porque oferecem um caminho direto para RCE sem necessitar de elevação de privilégios adicionais. A diferença agora é que a exploração já está em curso, e o relógio corre contra as equipes de segurança.

Produtos e Versões Afetados

A Microsoft confirmou que a CVE-2026-45659 impacta as seguintes edições do SharePoint Server. É fundamental que administradores verifiquem a versão exata em operação, pois builds específicas dentro de cada ramo principal podem ou não estar vulneráveis. A lista oficial de produtos afetados é a seguinte:

  • 🟠 Microsoft SharePoint Server 2016 — Todas as builds anteriores ao patch de segurança de julho de 2026. Ambientes on‑premises que ainda operam esta versão estão em risco elevado, especialmente porque muitas organizações estenderam o suporte estendido e podem ter atrasado a aplicação de atualizações recentes.
  • 🟠 Microsoft SharePoint Server 2019 — Versões sem o Security Update de julho de 2026. Esta é a edição mais amplamente adotada atualmente, e a combinação de grande base instalada com exploração ativa cria um cenário de risco extremo para empresas de médio e grande porte.
  • 🟠 Microsoft SharePoint Server Subscription Edition — Builds desatualizadas que não receberam o patch cumulativo mais recente. Por ser o modelo de licenciamento contínuo, muitos administradores assumem equivocadamente que as atualizações são automáticas, mas em implantações on‑premises o processo ainda exige intervenção manual.

É importante destacar que o SharePoint Online (parte do Microsoft 365) não está listado como afetado nesta CVE específica, pois a Microsoft aplica patches no lado do serviço antes da divulgação pública. No entanto, organizações que operam em modo híbrido — com servidores on‑premises integrados ao tenant do Microsoft 365 — devem tratar a correção como prioridade máxima, pois um servidor local comprometido pode servir de ponte para recursos na nuvem, dependendo das configurações de confiança e federação. Adicionalmente, a CVE-2026-45659 exploração ativa vulnerabilidade também preocupa ambientes que utilizam o SharePoint como backend para aplicações customizadas, portais de parceiros ou extranets, onde contas autorizadas de terceiros representam um vetor de entrada impossível de controlar completamente sem as devidas proteções técnicas.

Análise Técnica Detalhada da Vulnerabilidade

Para compreender a raiz do problema, é necessário mergulhar no mecanismo de desserialização e no contexto arquitetural do SharePoint Server. A plataforma utiliza extensivamente a serialização de objetos para transporte de dados entre componentes, como na comunicação entre front‑ends web e serviços de backend, no processamento de web parts, na importação de pacotes de solução (.wsp) e na manipulação de metadados de documentos. Em condições normais, o SharePoint espera receber apenas objetos serializados que foram gerados por fontes confiáveis e que respeitam a estrutura esperada pelo TypeNameHandling e pelo Binder de serialização configurado. A CVE-2026-45659 ocorre porque, em um ponto específico do pipeline de processamento — associado a um endpoint acessível a usuários autenticados com privilégios mínimos — o servidor aceita um fluxo de dados serializados sem validar adequadamente o tipo do objeto que está sendo reconstruído, permitindo que o atacante especifique um tipo arbitrário que reside em assemblies carregados no processo do SharePoint (gadget chains).

O vetor técnico se apoia no conceito de gadget chains: sequências de classes aparentemente inofensivas que, quando instanciadas em uma ordem específica durante a desserialização, desencadeiam efeitos colaterais perigosos — como a execução de comandos via System.Diagnostics.Process ou a escrita arbitrária de arquivos no disco. A pesquisa de segurança por trás dessa CVE indica que os gadgets explorados pertencem a bibliotecas nativas do .NET Framework e a assemblies customizados comumente encontrados em implantações padrão do SharePoint, o que elimina a necessidade de o atacante carregar bibliotecas externas. Com uma conta de usuário autenticado — mesmo que seja uma conta de convidado ou membro do grupo “Visitantes” — o atacante envia uma requisição HTTP especialmente construída para o endpoint vulnerável, contendo o payload serializado em formato JSON, XML ou binário (dependendo do contexto exato do endpoint). O servidor desserializa o payload, instancia a cadeia de gadgets e, em milissegundos, executa o comando arbitrário no contexto da conta de serviço do SharePoint.

Do ponto de vista de defesa, o aspecto mais insidioso é que o tráfego malicioso se disfarça perfeitamente como requisições legítimas de usuários autenticados. Não há necessariamente um padrão de assinatura de rede óbvio que diferencie uma requisição benigna de uma maliciosa sem uma inspeção profunda do conteúdo serializado — algo que a maioria dos firewalls de aplicação web (WAFs) tradicionais não realiza para tráfego autenticado interno. Além disso, como a exploração não depende de vulnerabilidades de corrupção de memória, técnicas como ASLR, DEP e CFG não oferecem proteção significativa. A mitigação real depende ou da aplicação do patch — que corrige a lógica de desserialização para restringir os tipos permitidos — ou de controles compensatórios que monitorem e restrinjam o comportamento pós‑exploração, como EDRs configurados para detectar a execução de processos filhos a partir do processo do SharePoint (w3wp.exe).

Como a Exploração Ativa da Vulnerabilidade CVE-2026-45659 Funciona em Campo

Com base na telemetria de ameaças coletada nas últimas 48 horas por parceiros de inteligência e pelo nosso SOC na JRT Technology Solutions, a CVE-2026-45659 exploração ativa vulnerabilidade já está sendo incorporada ao arsenal de pelo menos dois perfis distintos de atacantes: grupos de espionagem corporativa focados em propriedade intelectual e operadores de ransomware que buscam estabelecer acesso inicial para movimentação lateral e posterior deploy de cargas de extorsão. O cenário de ataque observado segue um padrão que mescla técnicas de reconhecimento prévio, uso de credenciais comprometidas e exploração cirúrgica do endpoint vulnerável. Abaixo, detalhamos o fluxo típico que está sendo testemunhado em incidentes reais:

  1. Comprometimento de credenciais: O atacante obtém uma conta de usuário válida do SharePoint — seja por meio de phishing direcionado, compra de credenciais em mercados underground, ou aproveitando contas de ex‑colaboradores que permanecem ativas no diretório. Não há necessidade de privilégios elevados; o grupo “Membros” ou mesmo “Visitantes” em um site padrão é suficiente.
  2. Reconhecimento interno: Com a conta em mãos, o atacante acessa o SharePoint e mapeia a estrutura de sites, bibliotecas de documentos e, principalmente, identifica a versão exata do servidor — muitas vezes exposta em cabeçalhos HTTP, páginas de erro ou na interface de administração acessível a qualquer usuário autenticado.
  3. Preparação do payload: De posse da versão, o atacante seleciona o gadget chain adequado para a build específica. Ferramentas como ysoserial.net (amplamente conhecidas na comunidade de segurança) são utilizadas para gerar o payload malicioso, que pode ser encapsulado em um objeto ViewState, em um parâmetro de web part ou em um campo de metadados de documento, dependendo do endpoint vulnerável específico.
  4. Disparo da exploração: O payload é enviado via requisição HTTP POST ao endpoint identificado. O servidor processa a requisição, desserializa o objeto malicioso e executa o comando arbitrário — tipicamente um download e execução de um beacon C2 (como Cobalt Strike, Sliver ou ferramentas customizadas) que estabelece comunicação reversa com a infraestrutura do atacante.
  5. Pós‑exploração e persistência: Com o shell reverso operando no contexto da conta de serviço do SharePoint, o atacante realiza reconhecimento do ambiente, extrai credenciais adicionais do LSASS ou do registro, e se move lateralmente para controladores de domínio, servidores de arquivos e bancos de dados. Em incidentes associados a ransomware, esta fase culmina na exfiltração de dados sensíveis e na criptografia de ativos, seguida da nota de extorsão.

O que torna essa campanha especialmente perigosa é a velocidade de operação. Em pelo menos dois incidentes analisados pela equipe de resposta da JRT, o tempo entre o disparo da exploração e o início da movimentação lateral foi inferior a 90 minutos. Isso significa que janelas de resposta tradicionais — que muitas vezes dependem de revisão manual de logs — são completamente inadequadas. A detecção precisa ser automatizada, comportamental e em tempo real, com alertas que disparem no instante em que um processo filho incomum for gerado pelo w3wp.exe do SharePoint ou quando uma conexão de rede para um destino não categorizado for estabelecida a partir do servidor.

Impacto Real da Exploração Ativa da CVE-2026-45659 para Empresas

Quando falamos de uma vulnerabilidade com exploração ativa comprovada em um produto como o SharePoint, o impacto potencial transcende a esfera técnica e atinge diretamente a continuidade dos negócios, a integridade dos dados e a situação regulatória da organização. O SharePoint, por sua natureza, é o repositório onde residem documentos estratégicos, contratos, informações de clientes, dados financeiros, propriedade intelectual e registros de compliance. Um atacante que obtenha RCE no servidor SharePoint pode, em minutos, comprometer toda essa massa de informações — e, frequentemente, o fará de forma silenciosa, sem deixar rastros óbvios que seriam notados por um administrador em uma verificação rotineira. A CVE-2026-45659 exploração ativa vulnerabilidade coloca em risco, portanto, não apenas um servidor, mas a espinha dorsal de informação de milhares de empresas.

Do ponto de vista regulatório, as implicações são severas. Organizações sujeitas à LGPD (Lei Geral de Proteção de Dados) no Brasil enfrentam a obrigação de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em caso de incidente de segurança que possa acarretar risco ou dano relevante. Um comprometimento via SharePoint que exponha dados pessoais de clientes, funcionários ou parceiros se enquadra perfeitamente nesse cenário. De forma análoga, empresas com operações na Europa devem considerar os artigos 33 e 34 do GDPR, que impõem prazos rígidos de notificação (72 horas) e multas que podem atingir 4% do faturamento global. No contexto de PCI‑DSS, se o SharePoint armazenar ou processar dados de titulares de cartão — mesmo que indiretamente, como relatórios financeiros ou planilhas —, o comprometimento pode representar uma violação dos requisitos 6 (desenvolvimento seguro) e 11 (testes de segurança regulares), potencialmente resultando em multas contratuais e aumento nos custos de transação. Para ambientes de saúde sob HIPAA, a exposição de ePHI (informações de saúde protegidas) armazenadas em bibliotecas do SharePoint configura uma violação passível de penalidades civis e criminais.

No plano financeiro e operacional, um incidente bem‑sucedido de exploração da CVE-2026-45659 costuma desencadear uma cascata de prejuízos diretos e indiretos: indisponibilidade do SharePoint e de sistemas integrados, custos de resposta a incidentes (contratação de consultorias forenses, horas extras da equipe de TI), perda de produtividade dos colaboradores, danos à reputação da marca, e possíveis ações judiciais de clientes e parceiros prejudicados. Em cenários de ransomware, soma‑se ainda o valor do resgate — que, em 2026, tem girado em torno de centenas de milhares a milhões de dólares para empresas de médio porte — sem qualquer garantia de que os dados serão efetivamente restaurados ou de que não serão vazados de qualquer forma. É um risco que nenhum CFO ou board está disposto a assumir quando a mitigação está disponível e é viável de ser implementada em horas.

Como se Proteger — Passos de Mitigação Imediatos

A primeira e mais importante ação é clara: aplicar o patch de segurança imediatamente. A Microsoft disponibilizou a correção para a CVE-2026-45659 no ciclo de atualizações de julho de 2026, e o patch deve ser instalado em todos os servidores SharePoint afetados sem demora. No entanto, sabemos que em ambientes corporativos complexos a aplicação de patches pode exigir janelas de manutenção, testes prévios em homologação e aprovações de change management. Enquanto o patch não pode ser aplicado — ou como camada adicional de defesa mesmo após a correção —, as seguintes medidas de mitigação devem ser implementadas com urgência:

  1. Aplicar o Security Update de julho de 2026 da Microsoft para o SharePoint Server. Este é o passo definitivo e insubstituível. Acesse o Microsoft Update Catalog, baixe o pacote correspondente à sua versão (2016, 2019 ou Subscription Edition) e siga o procedimento padrão de instalação de atualizações do SharePoint — respeitando a ordem correta: primeiro a atualização de segurança, depois o assistente de Configuração de Produtos do SharePoint (psconfig) em cada servidor do farm.
  2. Restringir o acesso ao endpoint vulnerável. Enquanto o patch é preparado, equipes de segurança podem implementar regras de filtragem no IIS ou no firewall de aplicação web (WAF) para bloquear requisições que contenham padrões típicos de payloads de desserialização, como strings de tipo .NET incomuns em parâmetros de requisição. Embora seja uma medida paliativa e sujeita a bypass, ela pode reduzir a superfície de ataque imediata. Na JRT Technology Solutions, recomendamos a criação de regras de negação para padrões como __type, System

Sua empresa está protegida contra esta vulnerabilidade?

A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.



Verificar Agora

Thiago Paes Rodrigues

Com mais de 22 anos de experiência em Tecnologia da Informação, este profissional construiu uma trajetória sólida como empresário, atuando de forma estratégica na implementação de soluções tecnológicas que otimizam processos e impulsionam resultados em diferentes setores.