Muitas empresas enxergam o SharePoint apenas como uma plataforma de colaboração. Cibercriminosos enxergam algo diferente: um dos repositórios mais valiosos da organização. Documentos estratégicos, contratos, informações financeiras, dados de clientes e propriedade intelectual frequentemente passam por ali. Por isso, quando a CISA — a agência norte-americana de segurança cibernética — confirma que uma vulnerabilidade específica está sendo explorada ativamente, o assunto deixa de ser apenas técnico e vira risco de negócio direto. Em 1º de julho de 2026, foi exatamente isso que aconteceu com o Microsoft SharePoint Server: a CVE-2026-45659 entrou no catálogo de Known Exploited Vulnerabilities (KEV) da CISA, com evidência confirmada de exploração em ambientes reais.
O que aconteceu
O alerta emitido pela CISA
A inclusão de uma vulnerabilidade no catálogo KEV não é um procedimento rotineiro — a CISA reserva essa lista para falhas com evidência confirmada de exploração ativa, não para riscos teóricos ou hipotéticos. A agência determinou que agências federais americanas tinham três dias, até 4 de julho, para aplicar a correção — um prazo curto o suficiente para sinalizar a urgência real da situação, mesmo para empresas privadas que não estão formalmente obrigadas pela diretiva federal.
O que é a CVE-2026-45659
Em linguagem executiva: é uma falha de desserialização de dados não confiáveis que permite execução remota de código — na prática, um atacante consegue rodar comandos arbitrários dentro do servidor SharePoint, como se estivesse operando a máquina diretamente. A vulnerabilidade recebeu pontuação CVSS de 8.8 (alta severidade) e pode ser explorada por um atacante autenticado com, no mínimo, permissão de Site Member — o nível de acesso padrão concedido à maioria dos colaboradores em qualquer ambiente corporativo, sem exigir privilégio administrativo.
Esse detalhe é o que torna a falha particularmente preocupante: a barreira de entrada para o atacante é baixa. Não é preciso comprometer uma conta de administrador — uma credencial de colaborador comum, obtida via phishing, infecção por infostealer ou reutilização de senha vazada, já é suficiente para iniciar o ataque.
Por que essa vulnerabilidade preocupa tanto
O SharePoint está no centro da operação das empresas
O SharePoint normalmente concentra contratos, projetos, informações financeiras, planejamento estratégico e bases de conhecimento corporativas inteiras. O comprometimento da plataforma não é um incidente isolado de TI — é a abertura de uma porta para o que existe de mais sensível dentro da organização.
O risco vai muito além do SharePoint
Uma invasão bem-sucedida raramente fica contida ao servidor inicial. Uma vez dentro, o atacante busca ganhar persistência, escalar privilégios, comprometer outros sistemas conectados e, eventualmente, exfiltrar dados. A análise técnica da vulnerabilidade descreve um padrão de ataque pós-exploração que envolve implantação de webshell para acesso persistente, movimentação lateral pela rede corporativa e preparação de dados para exfiltração — inclusive como etapa preparatória em campanhas de ransomware.
Um precedente reforça esse risco: campanhas anteriores contra vulnerabilidades da mesma classe em SharePoint on-premises já foram associadas ao grupo Storm-2603, conhecido por implantar o ransomware Warlock explorando exatamente esse tipo de falha.
Quais versões são afetadas
Segundo a Microsoft, a vulnerabilidade afeta exclusivamente instâncias on-premises do SharePoint Server:
- SharePoint Server Subscription Edition
- SharePoint Server 2019
- SharePoint Enterprise Server 2016
O SharePoint Online, parte do Microsoft 365, não é afetado por essa falha específica — a vulnerabilidade está ligada à forma como o software é instalado e mantido em servidor próprio, um problema estrutural que não existe no modelo de nuvem gerenciado diretamente pela Microsoft. Isso não é motivo para relaxar: para muitas empresas de médio porte no Brasil, principalmente aquelas com histórico de infraestrutura local antes da migração completa para nuvem, o SharePoint Server on-premises ainda é uma realidade operacional.
Ambientes on-premises continuam sendo alvo prioritário
Organizações que mantêm aplicações locais enfrentam desafios estruturais que ambientes em nuvem gerenciada não têm: patch management depende inteiramente da própria equipe de TI, atualizações não acontecem automaticamente, e o hardening e o monitoramento contínuo são responsabilidade total do time interno — sem a rede de segurança que a Microsoft opera para o SharePoint Online.
Como invasores exploram esse tipo de vulnerabilidade
O ciclo típico de um ataque como esse segue cinco fases reconhecíveis:
- Identificação do ambiente vulnerável — varredura de servidores SharePoint expostos à internet com versão desatualizada
- Obtenção de acesso — credencial de colaborador com permissão de Site Member, obtida via phishing, infostealer ou credencial vazada reutilizada
- Execução de código — envio de um payload malicioso explorando a falha de desserialização, executando código diretamente no servidor
- Movimentação lateral — a partir do servidor comprometido, o atacante avança para outros sistemas da rede corporativa, muitas vezes usando ferramentas legítimas de administração remota para dificultar a detecção
- Roubo de dados ou ransomware — exfiltração de documentos sensíveis, seguida ou não de criptografia dos sistemas para extorsão
Essa cadeia reflete o padrão observado em incidentes anteriores envolvendo a mesma classe de falha em servidores de colaboração corporativa — não é um cenário hipotético construído para o artigo, é o comportamento documentado de grupos de ransomware que já atacaram SharePoint on-premises antes.
O que pode acontecer se a correção não for aplicada
Vazamento de dados corporativos
Além do impacto reputacional direto, um vazamento de dados pessoais ou sensíveis expõe a empresa a obrigações e riscos sob a LGPD — incluindo possíveis multas regulatórias, além da perda de vantagem competitiva quando informação estratégica ou propriedade intelectual é comprometida.
Ransomware
Grupos de ransomware frequentemente usam vulnerabilidades exploráveis como o vetor de acesso inicial, muito antes de qualquer sinal visível de criptografia aparecer. O tempo entre o comprometimento inicial e a detonação do ransomware pode ser de semanas — o que significa que, quando o ataque finalmente se torna visível, o atacante já teve tempo de mapear o ambiente inteiro.
Interrupção operacional
Paralisação de processos que dependem do SharePoint, queda de produtividade em toda a organização durante a resposta ao incidente, e aumento de custo — tanto de resposta emergencial quanto de eventual indisponibilidade prolongada de sistemas críticos.
O detalhe técnico que a maioria das empresas vai ignorar — e não deveria
Aplicar o patch é necessário, mas não é garantidamente suficiente. Se o servidor SharePoint esteve exposto à internet antes da correção ser aplicada, existe a possibilidade real de que já tenha sido comprometido — e um servidor corrigido depois de já comprometido continua sendo um servidor comprometido. Em campanhas anteriores contra a mesma classe de vulnerabilidade em SharePoint, atacantes roubaram chaves de máquina do ASP.NET diretamente do servidor — o que permite manter acesso persistente mesmo depois que a falha original é corrigida.
Isso significa que a resposta correta a esse alerta não é “aplicar o patch e seguir em frente” — é aplicar o patch, investigar se houve exposição prévia, verificar sinais de comprometimento (webshells, processos anômalos, contas administrativas criadas sem explicação) e, em ambientes que estiveram expostos, considerar a rotação das chaves de máquina como medida de precaução adicional.
Como verificar se sua empresa está exposta
Sinais de alerta — pergunte à sua equipe de TI
- O SharePoint Server está com a atualização de segurança de maio de 2026 instalada em todas as instâncias?
- Existe gestão formal de vulnerabilidades, com processo definido de identificação e priorização?
- Há monitoramento contínuo do ambiente, não apenas checagem pontual após um alerta?
- O ambiente passa por testes de invasão (pentest) periódicos?
- Existe integração com Microsoft Defender ou outra solução de detecção e resposta cobrindo esse servidor especificamente?
Indicadores de maturidade
Nível básico — a empresa corrige vulnerabilidades apenas de forma reativa, depois que um alerta ou incidente já chamou atenção. Nível intermediário — existe gestão formal de patches, com processo e prazo definidos, mas ainda sem visibilidade contínua do ambiente. Nível avançado — a empresa opera com gestão contínua de exposição (Exposure Management), monitorando vulnerabilidades, configurações, identidades e permissões de forma constante, não apenas quando uma CVE específica vira notícia.
Boas práticas para reduzir riscos em SharePoint
Atualizações de segurança
Microsoft e CISA recomendam a aplicação imediata das correções disponíveis — não como boa prática eventual, mas como resposta obrigatória diante de exploração ativa confirmada.
Princípio do menor privilégio
Revisar quem tem permissão de Site Member ou superior em cada site do SharePoint. Contas de fornecedor, prestador de serviço ou colaborador desligado com acesso ainda ativo são exatamente o tipo de porta de entrada que essa vulnerabilidade explora — reduzir essa superfície de ataque é uma das medidas de maior impacto disponíveis, mesmo depois do patch aplicado.
Monitoramento contínuo
Logs de acesso e atividade no SharePoint, integrados a uma solução de SIEM ou XDR, são o que permite identificar um padrão de comprometimento antes que ele se transforme em incidente visível — como um processo do IIS gerando comandos inesperados no sistema operacional, ou a criação de arquivos executáveis num diretório que normalmente só recebe documentos.
Segurança baseada em Zero Trust
Conectar identidade, dados, aplicações e dispositivos numa arquitetura coerente reduz o dano potencial mesmo quando uma vulnerabilidade específica escapa da defesa de perímetro — o que aconteceu aqui, já que o atacante só precisava de uma credencial comum, não de acesso administrativo.
O que esse incidente ensina sobre a segurança moderna
A velocidade dos ataques continua aumentando
A Microsoft avaliou originalmente a CVE-2026-45659 como “exploração pouco provável” quando lançou o patch em maio de 2026. Essa avaliação foi superada pelos eventos em pouco mais de seis semanas — a exploração ativa foi confirmada, e a CISA adicionou a falha ao catálogo KEV. Esse não é um caso isolado: é a terceira vulnerabilidade do SharePoint confirmada como explorada ativamente em 2026, depois de uma falha em março que não exigia sequer autenticação, e outra em maio, de spoofing. O padrão é consistente — SharePoint está sendo sistematicamente visado ao longo de 2026, e o intervalo entre o lançamento de um patch e a confirmação de exploração real está diminuindo de forma constante.
A mensagem prática para qualquer gestor de TI: não basta corrigir quando houver tempo disponível na fila de manutenção. É preciso reduzir continuamente a exposição, porque a janela entre “patch disponível” e “exploração confirmada” está ficando cada vez menor.
Segurança precisa ser contínua, não pontual
O conceito de Exposure Management — avaliação contínua de vulnerabilidades, configurações, identidades e permissões, não apenas resposta reativa a alertas — é o que separa empresas que reduzem significativamente o impacto desse tipo de ameaça das que continuam vulneráveis muito depois de o patch já estar disponível.
Como empresas de médio porte devem reagir
Curto prazo (esta semana)
- Verificar exposição ao CVE-2026-45659 em todas as instâncias SharePoint Server
- Aplicar a atualização de segurança de maio de 2026 imediatamente onde ainda não foi feita
- Revisar permissões críticas — quem tem acesso de Site Member ou superior
- Validar se logs e monitoramento estão de fato cobrindo o servidor SharePoint
Médio prazo (próximas semanas)
- Executar um Vulnerability Assessment completo do ambiente, não apenas focado nessa CVE específica
- Revisar a estratégia de proteção de dados armazenados no SharePoint
- Consolidar o monitoramento de segurança num único ponto de visibilidade
Longo prazo (próximos meses)
- Implementar um programa contínuo de gestão de exposição
- Fortalecer a governança geral do Microsoft 365, cobrindo identidade e permissões de forma estruturada
- Avançar de forma deliberada em direção a uma arquitetura Zero Trust
Para fechar
O alerta da CISA reforça uma realidade cada vez mais comum: ferramentas essenciais para produtividade também se tornaram alvos prioritários dos atacantes. A CVE-2026-45659 mostra que plataformas de colaboração precisam receber a mesma atenção dedicada a servidores, identidades e aplicações críticas — não uma prioridade secundária na fila de patches. Empresas que tratam segurança como processo contínuo, não como resposta pontual a manchetes, tendem a reduzir de forma significativa o impacto desse tipo de ameaça, mesmo quando não conseguem evitar completamente a existência da vulnerabilidade em si.
A InfoB, como parceira certificada Microsoft, apoia empresas na avaliação de exposição a vulnerabilidades como essa, incluindo análise de ambiente SharePoint, priorização de correções e plano de remediação estruturado.
Perguntas frequentes
O que é a vulnerabilidade CVE-2026-45659?
É uma vulnerabilidade de alta severidade (CVSS 8.8) no Microsoft SharePoint Server, causada por desserialização de dados não confiáveis. Permite que um atacante autenticado, com no mínimo permissão de Site Member — nível de acesso padrão da maioria dos colaboradores — execute código remotamente no servidor, sem precisar de privilégios administrativos.
A vulnerabilidade está sendo explorada?
Sim. A CISA adicionou a CVE-2026-45659 ao catálogo Known Exploited Vulnerabilities (KEV) em 1º de julho de 2026, confirmando evidência de exploração ativa. A inclusão no KEV não é especulativa — significa que a agência verificou que ataques já estão acontecendo.
Quais versões do SharePoint são afetadas?
SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016 — todas versões on-premises. A correção foi disponibilizada pela Microsoft em maio de 2026.
O Microsoft 365 SharePoint Online é afetado?
Não. A vulnerabilidade afeta exclusivamente instâncias on-premises do SharePoint Server. O SharePoint Online, parte do Microsoft 365 e gerenciado diretamente pela Microsoft, não é impactado por essa falha específica.
Qual a ação mais importante a tomar agora?
Aplicar imediatamente a atualização de maio de 2026 em todos os servidores SharePoint on-premises, e verificar se o servidor esteve exposto à internet antes da correção. Se esteve, o patch sozinho pode não ser suficiente — é necessário investigar sinais de comprometimento prévio e considerar a rotação das chaves de máquina ASP.NET.