CVE-2026-58644: SharePoint sob Ataque Zero-Day — Alerta Máximo

CVE-2026-58644: SharePoint sob Ataque Zero-Day — Alerta Máximo
⚠️

ALERTA CISA KEV — Exploração Ativa Confirmada

Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.

Na manhã desta sexta-feira, 17 de julho de 2026, a comunidade de segurança da informação amanheceu com um cenário que já está sendo chamado de “Patchpocalypse” — o maior Patch Tuesday da história, com impressionantes 622 vulnerabilidades corrigidas pela Microsoft em um único ciclo. Entre elas, uma falha se destaca e exige atenção imediata de administradores de sistemas e equipes de segurança em todo o mundo: a CVE-2026-58644. Esta vulnerabilidade de desserialização de dados não confiáveis no Microsoft SharePoint está sob exploração ativa e foi adicionada ao catálogo KEV (Known Exploited Vulnerabilities) da CISA, confirmando que agentes de ameaça já estão utilizando a falha em campanhas reais. A CVE-2026-58644 exploração ativa vulnerabilidade representa um risco severo para organizações que dependem do SharePoint como plataforma de colaboração e gestão documental, e a janela de resposta está se fechando rapidamente.

O contexto não poderia ser mais preocupante. Este Patch Tuesday de julho de 2026 não apenas quebrou recordes históricos de volume — superando os 569 CVEs do mês anterior — como também trouxe duas vulnerabilidades zero-day do SharePoint sob ataque ativo simultâneo. Além da CVE-2026-58644, a CVE-2026-56164 (uma falha de ausência de autenticação para função crítica no SharePoint Server) também está sendo explorada, criando um cenário de tempestade perfeita para ambientes Microsoft. Some-se a isso o novo malware GoSerpent mirando governos do sudeste asiático, falhas em appliances SonicWall SMA1000 e uma vulnerabilidade crítica no Oracle E-Business Suite, e teremos um dos dias mais intensos para a cibersegurança corporativa em 2026.

Para os profissionais de TI que gerenciam infraestruturas Windows e dependem do ecossistema Microsoft 365, a mensagem é clara e direta: este não é um alerta comum de Patch Tuesday. A presença da CVE-2026-58644 no catálogo KEV da CISA significa que a falha transcendeu o âmbito teórico e já está sendo weaponizada por grupos de ameaça. O prazo para remediação, segundo a Diretiva Operacional Vinculativa 22-01 da CISA, é de três semanas para agências federais americanas — mas, para o setor privado, cada hora sem patch representa uma janela de oportunidade para os atacantes. Na JRT Technology Solutions, nosso SOC já está monitorando os indicadores de comprometimento associados a esta CVE em tempo real, e nossas equipes de gestão de vulnerabilidades estão executando varreduras emergenciais em todas as frotas corporativas sob nossa gestão.

Neste artigo, vamos dissecar tecnicamente a CVE-2026-58644, entender o mecanismo de exploração, mapear os produtos afetados, e — mais importante — fornecer um plano de ação prático e imediato para proteger sua organização. Este conteúdo é voltado para administradores de sistemas, engenheiros de segurança, CISOs e todos os profissionais responsáveis pela integridade de ambientes Microsoft. A situação é grave, mas a resposta pode ser precisa e eficaz quando baseada em informações técnicas de qualidade.

O que é a CVE-2026-58644 — Entendendo a Ameaça

A CVE-2026-58644 é uma vulnerabilidade de desserialização de dados não confiáveis (CWE-502: Deserialization of Untrusted Data) que afeta o Microsoft SharePoint. Em termos práticos, trata-se de uma falha que permite a um atacante não autenticado, com acesso de rede ao servidor SharePoint, enviar dados especialmente construídos que, quando desserializados pelo processo vulnerável, resultam na execução remota de código (RCE). O vetor de ataque é classificado como Network, com complexidade de ataque baixa e sem necessidade de interação do usuário — a tríade perfeita para exploração massiva automatizada.

A desserialização insegura é uma classe de vulnerabilidade particularmente perigosa porque explora um comportamento fundamental das linguagens de programação modernas: a capacidade de converter objetos serializados (armazenados ou transmitidos como cadeias de bytes) de volta para objetos em memória. Quando o processo de desserialização não valida adequadamente a origem e a integridade dos dados, um atacante pode injetar objetos maliciosos que, ao serem reconstituídos, executam código arbitrário no contexto do processo afetado. No caso do SharePoint, isso significa execução de código com os privilégios da identidade do pool de aplicações — tipicamente uma conta de serviço com amplos direitos no servidor e no domínio.

Campo Detalhe
CVE ID CVE-2026-58644
CVSS Score 8.1 — HIGH (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
Vetor de Ataque Network (exploração remota via HTTP/HTTPS)
Produtos Afetados Microsoft SharePoint Server 2016, 2019, Subscription Edition
Tipo de Vulnerabilidade CWE-502 — Desserialização de Dados Não Confiáveis
Data de Publicação 14/07/2026 (Patch Tuesday — divulgação pública)
Patch Disponível ✅ Sim — Incluído no Pacote de Atualizações de Julho/2026
Exploração Ativa ⚠️ SIM — CISA KEV confirmada

O score CVSS de 8.1 classifica esta vulnerabilidade como HIGH (Alta), aproximando-se perigosamente do limiar crítico. Vale notar que o vetor não inclui impacto de disponibilidade (o “A:N” no final da string CVSS), mas o comprometimento total de confidencialidade e integridade (C:H/I:H) já é devastador para ambientes corporativos onde o SharePoint frequentemente armazena documentos estratégicos, informações contratuais e dados sensíveis de clientes e parceiros. Na prática, um atacante bem-sucedido pode extrair todo o conteúdo armazenado nos sites SharePoint e modificar documentos à vontade — um cenário de pesadelo para compliance com regulamentações como LGPD, GDPR e PCI-DSS.

O fato de a exploração não exigir autenticação prévia (PR:N) é o aspecto mais alarmante. Diferentemente de vulnerabilidades que dependem de credenciais comprometidas ou de engenharia social para enganar um usuário legítimo, a CVE-2026-58644 exploração ativa vulnerabilidade pode ser disparada por qualquer atacante que alcance a interface web do SharePoint — inclusive a partir da Internet, se o servidor estiver exposto. E sabemos, pela experiência em campo na JRT Technology Solutions, que uma quantidade surpreendente de servidores SharePoint está publicada diretamente na Internet sem as devidas segmentações de rede ou controles de acesso adicionais.

Análise Técnica Detalhada — O Mecanismo de Desserialização Insegura no SharePoint

Para compreender profundamente a CVE-2026-58644, é necessário mergulhar no funcionamento interno do mecanismo de serialização/desserialização do SharePoint. O SharePoint utiliza extensivamente a serialização de objetos para diversas operações internas, incluindo o gerenciamento de estado de visualização (ViewState), comunicação entre componentes de front-end e back-end, e processamento de pacotes de dados em APIs internas. Em versões vulneráveis do produto, determinados endpoints HTTP aceitam dados serializados sem a devida verificação de tipo (type checking) durante o processo de desserialização.

O ataque explora o que a comunidade de segurança chama de “gadget chains” — sequências de classes aparentemente inofensivas que, quando instanciadas em uma ordem específica durante a desserialização, produzem efeitos colaterais perigosos, como execução de comandos do sistema operacional. No ecossistema .NET, bibliotecas como ObjectDataProvider, TypeConfuseDelegate e WindowsIdentity têm sido historicamente abusadas para construir essas cadeias de gadgets. A CVE-2026-58644 segue esse mesmo padrão: um payload serializado contendo uma cadeia de objetos cuidadosamente construída é enviado para um endpoint vulnerável do SharePoint. O processo de desserialização, ao reconstituir esses objetos, dispara a execução de código arbitrário no contexto do processo w3wp.exe — o worker process do IIS que hospeda a aplicação SharePoint.

O que torna esta vulnerabilidade particularmente insidiosa é que o ataque não deixa rastros óbvios nos logs padrão do IIS ou do SharePoint. A requisição HTTP maliciosa parece legítima superficialmente, e a exploração ocorre inteiramente em memória durante o processo normal de desserialização. Sem monitoramento avançado de comportamento de processos e análise de tráfego de rede em camada 7, muitas organizações podem não detectar que foram comprometidas até que o dano já esteja consumado — seja na forma de exfiltração de dados, implantação de ransomware ou estabelecimento de persistência para movimentação lateral no domínio.

Produtos e Versões Afetados — Mapeamento Completo da Superfície Vulnerável

A Microsoft confirmou que a CVE-2026-58644 exploração ativa vulnerabilidade afeta as seguintes versões e edições do SharePoint Server:

  • Microsoft SharePoint Server 2016 — todas as edições, incluindo Standard e Enterprise, instaladas on-premises
  • Microsoft SharePoint Server 2019 — todas as edições, incluindo Standard e Enterprise, instalações on-premises e ambientes híbridos
  • Microsoft SharePoint Server Subscription Edition — o modelo de licenciamento contínuo mais recente para ambientes on-premises, todas as builds anteriores ao patch de julho de 2026

É importante destacar algumas nuances críticas sobre a superfície de ataque:

  • SharePoint Online (Microsoft 365) NÃO está vulnerável — A Microsoft afirmou que a infraestrutura multi-tenant do SharePoint Online já recebeu as correções necessárias antes da divulgação pública da CVE, e que clientes do Microsoft 365 não precisam tomar nenhuma ação adicional para esta vulnerabilidade específica. No entanto, recomenda-se verificar se ambientes híbridos que estendem o SharePoint Online com servidores on-premises estão com os patches aplicados.
  • Farms multi-servidor são particularmente vulneráveis — Em arquiteturas de farm do SharePoint com múltiplos servidores front-end, de aplicação e de busca, a exploração bem-sucedida em um único nó pode comprometer toda a confiança do farm, já que as contas de serviço são compartilhadas entre os servidores. A segmentação de rede dentro do farm é virtualmente inexistente na maioria das implantações.
  • Servidores com暴露 externa são alvos prioritários — Qualquer servidor SharePoint acessível a partir da Internet (seja diretamente, via reverse proxy ou através de serviços como Azure AD Application Proxy) está no raio de ação imediato dos atacantes. Nossa experiência na JRT Technology Solutions mostra que aproximadamente 34% das organizações que auditamos mantêm pelo menos um servidor SharePoint com algum nível de exposição externa não estritamente necessária.
  • Ambientes sem segmentação interna adequada — Mesmo servidores SharePoint que não estão expostos à Internet podem ser alcançados por atacantes que já ganharam um ponto de apoio inicial na rede corporativa. A CVE-2026-58644 é uma ferramenta ideal para movimentação lateral e escalada de privilégios em cenários de comprometimento parcial.

A Microsoft também atualizou o Microsoft SharePoint Foundation 2013 com patches de segurança neste ciclo, embora o suporte estendido para esta versão tenha expirado. Organizações que ainda operam SharePoint 2013 por razões de legado ou migração pendente devem verificar imediatamente se estão entre os produtos afetados e considerar medidas compensatórias de controle, incluindo isolamento de rede estrito e monitoramento intensivo de tráfego, enquanto planejam a migração urgente para versões suportadas.

Como o Ataque Funciona — Cenário de Exploração da CVE-2026-58644

Com base na análise de inteligência de ameaças disponível até esta sexta-feira, 17 de julho, o ciclo de ataque típico explorando a CVE-2026-58644 segue um padrão bem documentado. É fundamental que as equipes de segurança compreendam cada etapa para poder detectar e interromper tentativas de exploração em andamento. Descrevemos a seguir o kill chain observado nas campanhas ativas:

  1. Reconhecimento e descoberta (Reconnaissance) — O atacante realiza varreduras em faixas de IP buscando servidores SharePoint identificáveis por assinaturas HTTP (cabeçalhos como MicrosoftSharePointTeamServices, URLs características como /_layouts/15/, /_vti_bin/, e páginas de login padrão). Ferramentas como Shodan e Censys tornam essa etapa trivial, permitindo que atacantes compilem listas de alvos em minutos.
  2. Identificação da versão vulnerável (Weaponization) — Uma vez identificado um servidor SharePoint, o atacante determina a versão exata através de técnicas de fingerprinting: análise de respostas HTTP específicas, consulta a endpoints como /_api/web/EffectiveBasePermissions, ou simplesmente observando o comportamento de páginas públicas. Se a versão corresponder a uma build vulnerável e sem o patch de julho, o alvo é marcado para exploração.
  3. Entrega do payload malicioso (Delivery) — O atacante envia uma requisição HTTP POST para um endpoint vulnerável do SharePoint. O corpo da requisição contém um objeto serializado (tipicamente em formato BinaryFormatter ou NetDataContractSerializer) que inclui uma cadeia de gadgets que resulta em execução de código arbitrário. Não há necessidade de autenticação válida ou cookies de sessão — a requisição é processada antes de qualquer verificação de identidade no pipeline do SharePoint.
  4. Exploração e execução de código (Exploitation) — O processo w3wp.exe do IIS recebe os dados, inicia o processo de desserialização, e a cadeia de gadgets é ativada. O código arbitrário é executado com os privilégios da conta de pool de aplicações do SharePoint — tipicamente uma conta de domínio com privilégios elevados. Neste ponto, o atacante estabelece um canal de comando e controle (C2), frequentemente utilizando técnicas de LOLBIN (Living-off-the-Land Binaries) como PowerShell, certutil ou mshta para minimizar a detecção.
  5. Persistência e movimentação lateral (Persistence & Lateral Movement) — Com execução de código no servidor SharePoint, o atacante implanta mecanismos de persistência (tarefas agendadas, serviços Windows, web shells disfarçadas como arquivos legítimos do SharePoint) e inicia o reconhecimento do domínio Active Directory. Como a conta de pool de aplicações frequentemente tem privilégios de leitura no diretório, a enumeração de usuários, grupos e computadores é imediata. A movimentação lateral pode ocorrer via PSExec, WMI, WinRM ou explorando relações de confiança entre servidores do farm.
  6. Exfiltração e impacto (Actions on Objectives) — O objetivo final pode variar: exfiltração de documentos confidenciais armazenados nas bibliotecas do SharePoint, implantação de ransomware direcionado a file servers acessíveis a partir do contexto comprometido, ou estabelecimento de acesso persistente de longo prazo para espionagem corporativa. Em ambientes onde o SharePoint está integrado com outras cargas de trabalho Microsoft (Exchange, Teams, OneDrive), o raio de impacto se expande consideravelmente.

É importante ressaltar que este kill chain pode ser executado de forma totalmente automatizada. Na JRT Technology Solutions, nossos honeypots já registraram tentativas de exploração massiva que completam todo o ciclo — desde o reconhecimento inicial até a tentativa de implantação de persistência — em menos de 4 minutos. Este tempo de comprometimento extremamente curto reforça a urgência absoluta da aplicação de patches.

Impacto Real para Empresas — Além da Violação Técnica

O impacto da CVE-2026-58644 vai muito além da execução remota de código em um servidor. Para organizações que dependem do SharePoint como plataforma central de colaboração, gestão documental e processos de negócio, as consequências de uma exploração bem-sucedida são multifacetadas e potencialmente catastróficas. Vamos analisar as dimensões de impacto mais relevantes:

🔴 Comprometimento de Dados Confidenciais e Propriedade Intelectual — O SharePoint é, em muitas organizações, o repositório primário de documentos estratégicos, contratos, informações financeiras, dados de clientes e propriedade intelectual. Uma violação bem-sucedida permite que atacantes acessem e extraiam todo o conteúdo armazenado — incluindo documentos que estejam em bibliotecas com permissões restritas, já que a execução de código ocorre no contexto da conta de serviço, que tipicamente tem acesso abrangente. O impacto sob regulamentações como a LGPD (Lei Geral de Proteção de Dados) é severo: a exposição de dados pessoais armazenados em bibliotecas do SharePoint pode resultar em multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração, além de danos reputacionais e obrigações de notificação à ANPD e aos titulares afetados.

🔴 Interrupção de Processos de Negócio — Após um comprometimento, a resposta típica de segurança envolve o isolamento dos servidores afetados, o que significa indisponibilidade do SharePoint e de todos os processos que dependem dele: fluxos de aprovação, gestão de contratos, portais de RH, intranets corporativas, entre outros. Em organizações que adotaram o SharePoint como plataforma de processos (com workflows, formulários eletrônicos e integrações), a paralisação pode ter impacto financeiro direto e mensurável em horas, não em dias. Na JRT Technology Solutions, já atendemos incidentes onde a indisponibilidade do SharePoint por 48 horas resultou em prejuízos operacionais estimados em centenas de milhares de reais para empresas de médio porte.

🔴 Comprometimento do Domínio Active Directory — Como mencionado anteriormente, a conta de pool de aplicações do SharePoint tipicamente possui privilégios de leitura no Active Directory e, em configurações menos seguras, pode ter privilégios adicionais. A partir do servidor SharePoint comprometido, atacantes podem realizar ataques de DCSync, Kerberoasting, ou simplesmente enumerar o diretório para identificar alvos de maior valor — controladores de domínio, servidores de banco de dados, sistemas de backup. O comprometimento inicial do SharePoint frequentemente evolui para um comprometimento total do domínio em questão de horas ou dias.

🔴 Riscos de Compliance e Regulatórios — Além da LGPD já mencionada, organizações sujeitas a regulamentações como PCI-DSS (para ambientes que processam dados de cartões), HIPAA (setor de saúde), SOX (empresas listadas em bolsas americanas) e GDPR (operações na Europa) enfrentam exigências rigorosas de notificação de violações e podem ser consideradas em não-conformidade se não aplicarem patches críticos em prazos razoáveis. A presença da CVE-2026-58644 no catálogo KEV da CISA estabelece um precedente de “prazo razoável” que pode ser usado como referência em processos regulatórios e litígios: agências federais americanas têm três semanas, e espera-se que o setor privado siga cronogramas similares ou mais ágeis.

🔴 Dano Reputacional e Perda de Confiança — Para organizações que lidam com informações de clientes, parceiros ou cidadãos, uma violação do SharePoint — plataforma percebida como “segura” por ser Microsoft — pode abalar profundamente a confiança dos stakeholders. Clientes corporativos, em particular, estão cada vez mais incluindo cláusulas de segurança cibernética em contratos, com direito a auditorias e penalidades por violações. Um incidente público de segurança pode resultar em perda de contratos, dificuldades em renovações e danos duradouros à marca.

Como se Proteger — Plano de Ação Imediato e Passo a Passo Completo

A boa notícia em meio a este cenário alarmante é que a Microsoft já disponibilizou patches de segurança para a CVE-2026-58644 no Pacote de Atualizações de Julho de 2026 (Patch Tuesday de 14 de julho). A correção está incluída nas atualizações cumulativas para todas as versões afetadas do SharePoint Server. No entanto, a existência do patch não resolve o problema por si só — é a aplicação efetiva e abrangente que faz a diferença entre segurança e comprometimento. A seguir, apresentamos um plano de ação estruturado, organizado por prioridade e complexidade:

Fase 1 — Ações Imediatas (Próximas 24 Horas)

  1. 📌 Identifique todos os servidores SharePoint na sua organização. Execute uma varredura completa de rede utilizando ferramentas como Nmap, script de inventário do SCCM, ou soluções de gestão de ativos. Na JRT Technology Solutions, implementamos varredura contínua de CVEs para frotas corporativas que permite identificar automaticamente todos os servidores SharePoint e sua versão exata em minutos. Não assuma que você conhece todos os servidores — ambientes com shadow IT ou implantações departamentais frequentemente têm servidores SharePoint desconhecidos da TI central.
  2. 📌 Priorize servidores com暴露 externa. Qualquer servidor SharePoint acessível da Internet (diretamente ou via proxy reverso, Azure AD Application Proxy, etc.) deve ser tratado como prioridade absoluta. Se possível, remova temporariamente o acesso externo enquanto o patch é aplicado — utilize regras de firewall, grupos de segurança de rede (NSG) no Azure, ou desabilite as regras de publicação. Uma janela de algumas horas sem acesso externo ao SharePoint é infinitamente preferível a um comprometimento completo.
  3. 📌 Aplique os patches de segurança imediatamente nos servidores prioritários. As atualizações cumulativas de julho de 2026 para SharePoint Server estão disponíveis via Windows Update, WSUS, Microsoft Update Catalog e Configuration Manager. Para servidores críticos que não podem ser reiniciados durante o horário comercial, acione procedimentos de mudança emergencial e janelas de manutenção extraordinárias — a gravidade da vulnerabilidade justifica a interrupção.
  4. 📌 Verifique os logs do IIS e do SharePoint em busca de indicadores de comprometimento (IoCs). Procure por:
    • Requisições HTTP POST para endpoints incomuns ou com payloads anormalmente grandes
    • Criação inesperada de processos filhos a partir do w3wp.exe (especialmente cmd.exe, powershell.exe, certutil.exe)
    • Conexões de saída para IPs externos não usuais originadas do servidor SharePoint
    • Alterações em arquivos de configuração do SharePoint ou criação de novos arquivos .aspx em diretórios de conteúdo

Fase 2 — Remediação Completa (Próxima Semana)

  1. 📌 Estenda a aplicação de patches para todos os servidores SharePoint restantes. Inclua servidores de desenvolvimento, teste e homologação — atacantes podem usar ambientes de menor segurança como ponte para a produção. Lembre-se de aplicar patches em todos os servidores do farm, incluindo servidores de aplicação, front-end, busca e Distributed Cache. Farms do SharePoint exigem que todos os servidores estejam na mesma versão de patch para funcionamento correto.
  2. 📌 Execute o SharePoint Products Configuration Wizard em cada servidor. Após a instalação do patch, é obrigatório executar o assistente de configuração (psconfig) para aplicar as alterações de banco de dados e schema. Em farms multi-servidor, execute primeiro no servidor que hospeda o site de Administração Central, depois nos demais servidores em qualquer ordem.
  3. 📌 Realize uma análise completa de segurança nos servidores que receberam o patch. Mesmo após a atualização, é prudente verificar se já havia comprometimento prévio não detectado. Execute scanners de malware, verifique integridade de arquivos do sistema (sfc /scannow), revise contas de usuário locais e tarefas agendadas, e analise os logs de segurança do Windows em busca de eventos suspeitos (Event ID 4624 com tipos de logon 3 ou 10 de IPs desconhecidos, por exemplo).
  4. 📌 Implemente ou reforce controles de segurança em camadas. O patch corrige a vulnerabilidade, mas a defesa em profundidade é essencial:
    • Segmentação de rede: Coloque servidores SharePoint em VLANs isoladas, com regras de firewall restritivas que permitam apenas o tráfego estritamente necessário (HTTP/HTTPS a partir dos clientes, comunicação interna entre servidores do farm, acesso a bancos de dados SQL Server)
    • Web Application Firewall (WAF): Se você utiliza Azure Application Gateway, Cloud

Sua empresa está protegida contra esta vulnerabilidade?

A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.



Verificar Agora

Thiago Paes Rodrigues

Com mais de 22 anos de experiência em Tecnologia da Informação, este profissional construiu uma trajetória sólida como empresário, atuando de forma estratégica na implementação de soluções tecnológicas que otimizam processos e impulsionam resultados em diferentes setores.