Falha no Microsoft SharePoint é explorada pela CISA

Falha no Microsoft SharePoint é explorada pela CISA

A falha no Microsoft SharePoint voltou ao centro das atenções da comunidade de segurança após a CISA confirmar que a CVE-2026-45659 está sendo explorada ativamente por criminosos. O alerta é especialmente preocupante porque a vulnerabilidade possui baixa complexidade de exploração, permitindo que um invasor autenticado execute código remotamente sem precisar de privilégios administrativos.

Além da exploração em andamento, o caso chama atenção por outro motivo: a vulnerabilidade foi acidentalmente omitida das atualizações de segurança da Microsoft em maio de 2026, sendo corrigida apenas dias depois. Com a inclusão da falha no catálogo de vulnerabilidades exploradas da CISA, empresas que utilizam o SharePoint devem tratar a atualização como prioridade máxima.

O Microsoft SharePoint é amplamente utilizado por organizações para colaboração, compartilhamento de documentos e gerenciamento de informações internas. Justamente por concentrar dados estratégicos e integrar diversos serviços corporativos, a plataforma se tornou um dos principais alvos de grupos especializados em espionagem digital, roubo de informações e ataques de ransomware.

O que é a falha no Microsoft SharePoint (CVE-2026-45659) e como ela funciona

A CVE-2026-45659 é uma vulnerabilidade de execução remota de código (RCE) causada por um problema de desserialização de dados não confiáveis. Embora o termo pareça complexo, o conceito pode ser entendido de forma simples.

A desserialização é o processo de transformar dados recebidos em objetos que podem ser utilizados pelo sistema. Quando esse processo não valida corretamente as informações recebidas, um invasor consegue enviar dados especialmente preparados para fazer o servidor executar comandos maliciosos.

Na prática, isso significa que o SharePoint pode acabar executando código controlado pelo atacante, comprometendo completamente o ambiente caso a exploração seja bem-sucedida.

dPfzet6Y microsoft corrige vulnerabilidade no sharepoint cve 2026 45659 2

A facilidade de exploração por usuários autenticados

Um dos fatores que tornam essa vulnerabilidade tão perigosa é o seu baixo nível de complexidade.

Segundo as informações divulgadas, o atacante precisa apenas possuir uma conta autenticada com permissões de Membro do Site (PR:L). Não é necessário ser administrador do ambiente nem obter privilégios elevados antes da exploração.

Outro ponto importante é que o ataque não exige interação do usuário final. Depois que o invasor possui acesso autenticado, basta enviar uma solicitação especialmente criada para explorar a vulnerabilidade.

Esse cenário amplia significativamente o risco para organizações que possuem muitos usuários internos, colaboradores terceirizados ou contas comprometidas.

O erro de omissão da Microsoft

A história da CVE-2026-45659 também chamou atenção pelo processo de correção.

Inicialmente, a Microsoft pretendia distribuir a atualização durante o ciclo de patches de maio de 2026. Entretanto, por um erro operacional, a correção acabou ficando de fora das atualizações disponibilizadas naquele momento.

A empresa publicou posteriormente a correção em 21 de maio de 2026, permitindo que administradores finalmente eliminassem a vulnerabilidade. Apesar disso, muitos ambientes permaneceram sem atualização, criando uma janela de oportunidade que agora está sendo explorada por criminosos.

Falha no Microsoft SharePoint deixa milhares de servidores expostos

A situação torna-se ainda mais preocupante diante dos dados divulgados pela Shadowserver.

Segundo o monitoramento da organização, mais de 10 mil servidores SharePoint permanecem expostos diretamente à internet, aumentando significativamente a superfície de ataque disponível para agentes maliciosos.

Esse tipo de exposição facilita campanhas automatizadas de varredura, nas quais invasores procuram servidores vulneráveis em larga escala antes de iniciar ataques direcionados.

A própria CISA já relacionou vulnerabilidades anteriores do SharePoint a operações de ransomware, nas quais criminosos obtêm acesso inicial aos ambientes corporativos, movimentam-se lateralmente pela rede e, posteriormente, criptografam servidores críticos para exigir pagamento pelo resgate.

Embora cada incidente possua características diferentes, o histórico demonstra que falhas no SharePoint frequentemente se transformam em porta de entrada para comprometimentos muito maiores.

As ordens da CISA e o que fazer agora

Diante da confirmação de exploração ativa, a CISA adicionou a CVE-2026-45659 ao seu catálogo Known Exploited Vulnerabilities (KEV).

Além disso, a agência determinou que órgãos federais dos Estados Unidos sigam os prazos estabelecidos pela diretiva BOD 26-04, realizando a atualização obrigatória dos sistemas afetados.

Embora essa exigência seja direcionada às agências norte-americanas, ela serve como um importante alerta para empresas brasileiras. Quando uma vulnerabilidade entra no catálogo KEV, significa que já existem ataques reais acontecendo, tornando inadequado adiar a instalação das correções.

Administradores de infraestrutura devem verificar imediatamente a versão instalada do SharePoint, confirmar se o patch referente à CVE-2026-45659 foi aplicado e revisar os registros de autenticação em busca de atividades suspeitas. Também é recomendável limitar a exposição de servidores à internet sempre que possível, aplicar o princípio do menor privilégio aos usuários e reforçar o monitoramento dos ambientes corporativos.

A exploração ativa da falha no Microsoft SharePoint demonstra como uma vulnerabilidade aparentemente simples pode representar um enorme risco quando permanece sem correção. Atualizar os servidores o quanto antes e compartilhar esse alerta com as equipes de infraestrutura e segurança pode fazer a diferença entre uma operação segura e um incidente de grandes proporções.