A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, alertou na terça-feira que invasores estão explorando ativamente três vulnerabilidades para invadir instâncias do SharePoint Server instaladas localmente e expostas à internet.
As falhas, identificadas como
CVE-2026-32201
,
CVE-2026-45659
e
CVE-2026-56164
, afetam todas as versões suportadas do SharePoint Server self-hosted, incluindo o SharePoint Server Subscription Edition, a versão mais recente para ambientes locais, que adota um modelo de atualização contínua.
Em um aviso divulgado na terça-feira, a agência informou que os invasores usam essas vulnerabilidades para contornar a autenticação, obter execução remota de código e realizar atividades pós-exploração, incluindo o roubo de chaves de máquina do Internet Information Services e a manutenção de persistência para implantar malware em sistemas comprometidos.
A agência também destacou outras duas vulnerabilidades do SharePoint Server,
CVE-2026-55040
e
CVE-2026-58644
, que foram corrigidas pela Microsoft na terça-feira e classificadas como alvos atraentes para atacantes, embora ainda não haja confirmação de exploração em ambiente real.
O grupo Shadowserver, que monitora a segurança na internet, acompanha atualmente quase 10.000 servidores Microsoft SharePoint expostos à internet, e mais de 800 deles seguem sem patch para as vulnerabilidades
CVE-2026-32201
e
CVE-2026-45659
.
Ainda não há detalhes sobre quantos deles estão vulneráveis aos ataques com
CVE-2026-56164
ou se são honeypots.
A CISA pediu que as equipes de segurança monitorem de perto os servidores afetados em busca de sinais de exploração e recomendou a aplicação dos patches mais recentes da Microsoft, a verificação da instalação bem-sucedida, a redução do tempo entre ciclos de correção e a ativação do Windows Antimalware Scan Interface, com integração AMSI para aplicações web do SharePoint, além do uso das detecções do Microsoft Defender Antivirus, o MDAV, para identificar e remediar comprometimentos.
Entre as medidas adicionais de fortalecimento, a agência recomenda buscar e remover artefatos de intrusão antes de rotacionar as chaves de máquina do IIS, criar registros personalizados para monitorar atividades anômalas, evitar a exposição direta dos servidores SharePoint à internet sempre que possível e revisar as orientações oficiais da Microsoft para endurecimento de segurança do SharePoint Server.
Também é aconselhável bloquear o acesso externo ao SharePoint Central Administration e restringir a comunicação entre o farm e o banco de dados apenas aos sistemas necessários.
Quando a exposição for inevitável, a CISA recomenda posicionar os servidores atrás de um proxy reverso de camada 7 ou de um controle de segurança semelhante na camada de aplicação.
A CISA adicionou as três vulnerabilidades exploradas ativamente ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 14 de abril, no caso da
CVE-2026-32201
, em 1º de julho, para a
CVE-2026-45659
, e em 14 de julho, para a
CVE-2026-56164
.
As agências federais têm até 17 de julho para proteger os servidores SharePoint afetados pela
CVE-2026-56164
, conforme a Diretriz Operacional Vinculante 26-04, ou descontinuá-los caso as medidas de mitigação não possam ser aplicadas.
No total, desde novembro de 2021, a CISA já classificou 11 vulnerabilidades do Microsoft SharePoint como exploradas em ataques, sendo que 7 delas também foram usadas em campanhas de ransomware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...