CVE-2026-58644: Exploração Ativa de Vulnerabilidade Crítica SharePoint
ALERTA CISA KEV — Exploração Ativa Confirmada
Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.
Sábado, 18 de julho de 2026. A comunidade de segurança da informação acordou com mais um alerta máximo da CISA. A CVE-2026-58644 exploração ativa vulnerabilidade de desserialização no Microsoft SharePoint está entre as oito falhas adicionadas hoje ao catálogo KEV (Known Exploited Vulnerabilities), e a gravidade do cenário não pode ser subestimada. Estamos falando de uma zero-day que permite a um atacante não autenticado executar código arbitrário remotamente sobre a rede — sem credenciais, sem interação do usuário, apenas com acesso de rede ao servidor SharePoint vulnerável.
O Patch Tuesday de julho de 2026 entrou para a história como o maior da Microsoft, corrigindo um recorde absoluto de 622 vulnerabilidades, das quais duas já estavam sob ataque ativo antes mesmo do lançamento dos patches. A CVE-2026-58644 é uma delas. Para profissionais de infraestrutura e segurança, isso significa que a janela entre a descoberta e o patch foi zero — atacantes chegaram primeiro. O SharePoint, plataforma central de colaboração e gestão documental em milhares de organizações, está na mira de grupos de ameaça avançados que já automatizaram a exploração em escala.
O que torna este sábado particularmente tenso é o volume e a diversidade das CVEs ativamente exploradas divulgadas nas últimas horas. Além da falha no SharePoint, temos duas injeções de comando no Fortinet FortiSandbox (CVE-2026-25089 e CVE-2026-39808), uma falha de gerenciamento de privilégios no Oracle E-Business Suite (CVE-2026-46817), uma vulnerabilidade de SSRF e injeção de código nos appliances SonicWall SMA1000 (CVE-2026-15409 e CVE-2026-15410), e ainda problemas críticos no Active Directory Federation Services e no protocolo KNX. O cenário é de cerco simultâneo a múltiplas superfícies corporativas.
Neste post, vamos dissecar a CVE-2026-58644 com profundidade técnica. Explicaremos o mecanismo de desserialização insegura, os vetores de ataque, os produtos afetados, o impacto real nas empresas e, principalmente, os passos práticos e urgentes de mitigação. Se sua organização utiliza Microsoft SharePoint Server — incluindo versões híbridas e farms expostos — este é o momento de agir. Na JRT Technology Solutions, monitoramos alertas CISA KEV em tempo real e implementamos varredura contínua de CVEs para frotas corporativas gerenciadas, acelerando a resposta a incidentes críticos como este.
O que é a CVE-2026-58644 e por que esta exploração ativa de vulnerabilidade é crítica
A CVE-2026-58644 exploração ativa vulnerabilidade é classificada como uma falha de Desserialização de Dados Não Confiáveis (CWE-502) no Microsoft SharePoint. Em termos práticos, o SharePoint recebe e processa dados serializados de diversas origens — APIs, web parts, pacotes de integração — e, em algum ponto do pipeline de desserialização, não valida adequadamente a integridade ou a origem desses dados. Um atacante remoto pode enviar um payload malicioso cuidadosamente construído que, ao ser desserializado pelo servidor, resulta na execução de código arbitrário no contexto da aplicação.
O problema é que a desserialização insegura é uma classe de vulnerabilidade particularmente perigosa porque muitas vezes não exige autenticação. Um único pacote HTTP enviado ao endpoint vulnerável pode ser suficiente para comprometer o servidor. No caso da CVE-2026-58644, a CISA confirma que o vetor de ataque é via rede, sem autenticação, o que eleva o risco a patamares extremos. Atacantes estão explorando essa falha para obter acesso inicial a redes corporativas, implantar ransomware, exfiltrar dados sensíveis e estabelecer persistência para movimentação lateral.
Quando falamos em zero-day com exploração ativa, a gravidade é amplificada. Zero-day significa que a vulnerabilidade era desconhecida pelo fabricante no momento em que os primeiros ataques começaram. As equipes de segurança não tiveram nenhuma janela de proteção: não havia assinatura de IPS, regra de WAF ou patch disponível. Os atacantes tiveram dias, possivelmente semanas, para refinar exploits e alvejar organizações específicas. A inclusão no catálogo KEV da CISA é o sinal inequívoco de que a ameaça é real, documentada e exige remediação imediata por parte de todas as empresas — inclusive aquelas que ainda não detectaram tentativas de intrusão.
Análise técnica detalhada da vulnerabilidade
Para compreender a raiz técnica da CVE-2026-58644, precisamos revisitar o conceito de desserialização e como o SharePoint o implementa. A serialização é o processo de converter um objeto em um fluxo de bytes para transporte ou persistência. A desserialização reconstrói esse objeto a partir dos bytes. Em arquiteturas distribuídas como o SharePoint — que utiliza comunicação entre web front-ends, application servers, bancos de dados e serviços personalizados — a serialização é onipresente. O SharePoint frequentemente emprega formatos como BinaryFormatter, DataContractSerializer ou NetDataContractSerializer para comunicação interna e processamento de web parts.
O perigo surge quando o processo de desserialização não impõe restrições sobre quais tipos podem ser instanciados. Um atacante pode criar um payload malicioso contendo objetos de tipos inesperados que, ao serem reconstruídos, acionam comportamentos perigosos — como execução de comandos via System.Diagnostics.Process, carregamento de assemblies arbitrários, ou manipulação de fluxos de memória. Na prática, a CVE-2026-58644 permite que um invasor envie um pacote serializado especialmente criado para um endpoint SharePoint vulnerável. Quando o servidor desserializa esse pacote, o payload é executado com as permissões da conta de serviço do SharePoint, tipicamente uma conta com privilégios elevados no farm e no domínio.
O vetor exato da exploração pode variar. Em vulnerabilidades anteriores de desserialização no SharePoint (como a CVE-2019-0604 e a CVE-2020-1147), os endpoints afetados incluíam serviços de API REST, manipuladores de upload de arquivos e processadores de pacotes de soluções. Na CVE-2026-58644, embora a Microsoft não tenha divulgado o endpoint específico, evidências coletadas por pesquisadores do ZDI e de firmas independentes apontam para múltiplos vetores no pipeline de processamento de requisições que lidam com pacotes de dados complexos — possivelmente relacionados ao serviço de metadados gerenciados ou ao processamento de web parts de terceiros.
Um detalhe que torna essa vulnerabilidade particularmente perigosa é que a exploração pode ser conduzida sem qualquer nível de autenticação. O atacante não precisa de uma conta de usuário válida no SharePoint; basta conseguir alcançar o servidor pela rede. Em um ambiente típico, isso significa que tanto atacantes externos (se o SharePoint estiver exposto à internet, mesmo que através de um proxy reverso) quanto internos (usuários maliciosos na rede corporativa) podem disparar o exploit. Uma vez executado o código arbitrário, o invasor rapidamente escalará privilégios para domínio, comprometendo a totalidade da infraestrutura.
Produtos e versões afetados pela CVE-2026-58644
O boletim da Microsoft cobre um amplo espectro de versões do SharePoint Server. Historicamente, vulnerabilidades de desserialização tendem a afetar múltiplas builds porque o componente problemático é frequentemente herdado de versões anteriores ou compartilhado entre edições. As versões confirmadas como vulneráveis incluem:
- Microsoft SharePoint Server Subscription Edition — todas as builds anteriores ao patch de julho de 2026
- Microsoft SharePoint Server 2019 — todas as Service Packs e Cumulative Updates até junho de 2026
- Microsoft SharePoint Server 2016 — estendendo o suporte, versões sem o patch mais recente
- Microsoft SharePoint Foundation 2013 — para clientes que ainda mantêm farms legados (atenção: suporte estendido pode não cobrir patches automáticos)
Além disso, a Microsoft confirma que o SharePoint Online (parte do Microsoft 365) não é diretamente afetado, pois a plataforma cloud recebe patches automaticamente antes da divulgação pública. Entretanto, implementações híbridas — onde servidores on-premises integram-se com o SharePoint Online — permanecem vulneráveis se os servidores locais não forem atualizados. A integração híbrida pode, inclusive, servir como ponte para atacantes que buscam comprometer a parte on-premises para depois pivotar para recursos cloud.
Na JRT Technology Solutions, utilizamos nosso MDM corporativo e ferramentas de inventário automatizado para identificar rapidamente todas as instâncias SharePoint em uma frota de servidores, incluindo servidores de desenvolvimento, teste e staging que muitas vezes são negligenciados. É comum encontrar farms inteiros rodando versões desatualizadas simplesmente porque a equipe de infraestrutura não tinha visibilidade completa do ambiente.
Como funciona o ataque de exploração ativa da CVE-2026-58644
Explorar a CVE-2026-58644 exploração ativa vulnerabilidade segue um padrão já conhecido por analistas de ameaças, mas adaptado ao ecossistema SharePoint. Embora não publicaremos código de prova de conceito, é importante que as equipes de defesa entendam a mecânica geral para melhor configurar suas detecções. O ataque conceitual pode ser descrito nas seguintes etapas:
- Reconhecimento do alvo: O atacante identifica servidores SharePoint expostos (via scanners como Shodan ou diretamente por HTTP fingerprinting). Headers como
MicrosoftSharePointTeamServicesou padrões de URL como/_layouts/15/são indicadores imediatos. Neste estágio, o atacante pode também enumerar endpoins REST e serviços WCF para mapear a superfície de ataque. - Preparação do payload serializado: Utilizando ferramentas como
ysoserial.net, o atacante gera um payload que contém uma cadeia de gadgets — sequências de tipos .NET que, quando desserializados em ordem, culminam na execução de um comando arbitrário. O payload é encapsulado no formato esperado pelo endpoint vulnerável (Binário, XML, JSON ou SOAP, dependendo do serviço alvo). - Envio da requisição maliciosa: O payload é enviado através de uma requisição HTTP POST ou GET manipulada para o endpoint vulnerável. Não há necessidade de autenticação; o servidor SharePoint aceita a requisição e a encaminha para o componente de desserialização.
- Execução de código no servidor: O processo de desserialização do SharePoint instancia os objetos maliciosos. O gadget chain resulta na execução de um comando — tipicamente, uma chamada reversa de shell (reverse shell) para um servidor controlado pelo atacante, ou a execução direta de comandos via
cmd.exeoupowershell.exe. - Pós-exploração e movimento lateral: Com execução de código no servidor SharePoint (frequentemente sob a conta de serviço com privilégios de administrador local e, em muitos casos, permissões delegadas no Active Directory), o atacante realiza reconhecimento interno, extrai credenciais da memória (Mimikatz), acessa bancos de dados SQL do SharePoint, e move-se lateralmente para controladores de domínio, acelerando o comprometimento total do ambiente.
Grupos de ameaça que historicamente miraram SharePoint — como o APT28 (Fancy Bear), FIN7 e afiliados de ransomware como o LockBit — já foram observados adaptando suas cadeias de ataque para incluir exploits de desserialização assim que as vulnerabilidades se tornam públicas. Embora a CISA não tenha atribuído a CVE-2026-58644 a um grupo específico até o momento, múltiplas empresas de threat intelligence relataram atividade anômala em farms SharePoint de clientes nos setores de saúde, governo e manufatura. A correlação temporal com os incidentes da Abbott — que investiga duas ocorrências cibernéticas em meio a alegações de extorsão — sugere que atacantes estão priorizando alvos de alto valor.
Impacto real para empresas e a urgência da correção
A CVE-2026-58644 exploração ativa vulnerabilidade atinge diretamente a espinha dorsal da colaboração empresarial. O SharePoint não é apenas um repositório de documentos: é a plataforma que hospeda intranets, portais de gestão de projetos, workflows de aprovação, integrações com Power Automate, e — crucialmente — documentos com dados sensíveis que vão desde informações financeiras até propriedade intelectual. Um comprometimento bem-sucedido pode significar:
- 🔴 Vazamento de dados confidenciais: Contratos, dados de clientes, segredos comerciais, prontuários médicos (HIPAA) e dados protegidos por regulamentações como LGPD e GDPR podem ser exfiltrados em minutos. O custo de notificação, multas e danos à reputação é imensurável.
- 🔴 Interrupção de operações críticas: Workflows de negócio que dependem do SharePoint param instantaneamente. Em setores como manufatura e logística, isso pode interromper linhas de produção e cadeias de suprimento.
- 🔴 Ransomware e extorsão: Após o acesso inicial, o atacante pode criptografar não apenas os dados do SharePoint, mas todo o ambiente Windows, e exigir resgates de sete ou oito dígitos. A tendência de dupla extorsão (ameaçar publicar dados sensíveis) agrava a situação.
- 🔴 Violações de compliance: Empresas sujeitas a PCI-DSS, HIPAA, SOX e ISO 27001 podem ser consideradas em não-conformidade se uma vulnerabilidade com patch disponível não for corrigida imediatamente. Auditores e reguladores não perdoam negligência diante de alertas CISA KEV.
- 🔴 Comprometimento de identidades federadas: Em ambientes que utilizam Active Directory Federation Services (cuja própria vulnerabilidade CVE-2026-56155 também está no KEV), o servidor SharePoint pode servir como trampolim para manipular claims de autenticação e forjar tokens para acessar aplicações SaaS e IaaS conectadas.
O prejuízo financeiro médio de um incidente de segurança que envolve execução remota de código em servidores SharePoint tem sido estimado entre US$ 1,2 milhão e US$ 4,5 milhões, considerando custos de resposta a incidentes, downtime, honorários advocatícios e perda de negócios. Para uma empresa listada em bolsa, o impacto no valor das ações após a divulgação de um breach é historicamente negativo, com quedas médias de 5% a 7% nas semanas seguintes.
Verificação pós-patch: como garantir
Sua empresa está protegida contra esta vulnerabilidade?
A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.
Sua empresa está protegida contra esta vulnerabilidade?
A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.