CISA alerta administradores para corrigirem falhas do SharePoint já exploradas ativamente
15 de Julho de 2026

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, alertou na terça-feira que invasores estão explorando ativamente três vulnerabilidades para invadir instâncias do SharePoint Server instaladas localmente e expostas à internet.

As falhas, identificadas como CVE-2026-32201 , CVE-2026-45659 e CVE-2026-56164 , afetam todas as versões suportadas do SharePoint Server self-hosted, incluindo o SharePoint Server Subscription Edition, a versão mais recente para ambientes locais, que adota um modelo de atualização contínua.

Em um aviso divulgado na terça-feira, a agência informou que os invasores usam essas vulnerabilidades para contornar a autenticação, obter execução remota de código e realizar atividades pós-exploração, incluindo o roubo de chaves de máquina do Internet Information Services e a manutenção de persistência para implantar malware em sistemas comprometidos.

A agência também destacou outras duas vulnerabilidades do SharePoint Server, CVE-2026-55040 e CVE-2026-58644 , que foram corrigidas pela Microsoft na terça-feira e classificadas como alvos atraentes para atacantes, embora ainda não haja confirmação de exploração em ambiente real.

O grupo Shadowserver, que monitora a segurança na internet, acompanha atualmente quase 10.000 servidores Microsoft SharePoint expostos à internet, e mais de 800 deles seguem sem patch para as vulnerabilidades CVE-2026-32201 e CVE-2026-45659 .

Ainda não há detalhes sobre quantos deles estão vulneráveis aos ataques com CVE-2026-56164 ou se são honeypots.

A CISA pediu que as equipes de segurança monitorem de perto os servidores afetados em busca de sinais de exploração e recomendou a aplicação dos patches mais recentes da Microsoft, a verificação da instalação bem-sucedida, a redução do tempo entre ciclos de correção e a ativação do Windows Antimalware Scan Interface, com integração AMSI para aplicações web do SharePoint, além do uso das detecções do Microsoft Defender Antivirus, o MDAV, para identificar e remediar comprometimentos.

Entre as medidas adicionais de fortalecimento, a agência recomenda buscar e remover artefatos de intrusão antes de rotacionar as chaves de máquina do IIS, criar registros personalizados para monitorar atividades anômalas, evitar a exposição direta dos servidores SharePoint à internet sempre que possível e revisar as orientações oficiais da Microsoft para endurecimento de segurança do SharePoint Server.

Também é aconselhável bloquear o acesso externo ao SharePoint Central Administration e restringir a comunicação entre o farm e o banco de dados apenas aos sistemas necessários.

Quando a exposição for inevitável, a CISA recomenda posicionar os servidores atrás de um proxy reverso de camada 7 ou de um controle de segurança semelhante na camada de aplicação.

A CISA adicionou as três vulnerabilidades exploradas ativamente ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 14 de abril, no caso da CVE-2026-32201 , em 1º de julho, para a CVE-2026-45659 , e em 14 de julho, para a CVE-2026-56164 .

As agências federais têm até 17 de julho para proteger os servidores SharePoint afetados pela CVE-2026-56164 , conforme a Diretriz Operacional Vinculante 26-04, ou descontinuá-los caso as medidas de mitigação não possam ser aplicadas.

No total, desde novembro de 2021, a CISA já classificou 11 vulnerabilidades do Microsoft SharePoint como exploradas em ataques, sendo que 7 delas também foram usadas em campanhas de ransomware.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...