CISA alerta exploração ativa em versões locais do SharePoint Server.
A CISA alertou que três vulnerabilidades em versões locais do Microsoft SharePoint Server estão sendo exploradas. Os ataques buscam roubar chaves do servidor web Internet Information Services e sustentar acesso não autorizado. Pesquisadores ainda apontam uma quarta falha que pode ser encadeada com outra, sem correção prevista antes do ciclo de agosto da Microsoft.
A Cybersecurity and Infrastructure Security Agency, CISA, alertou que três vulnerabilidades em versões locais do Microsoft SharePoint Server estão sendo exploradas em julho de 2026. Como o SharePoint concentra documentos e fluxos de colaboração, a exposição pesa tanto em órgãos públicos quanto em empresas privadas. As falhas citadas são a CVE-2026-32201, divulgada em abril, a CVE-2026-45659, com gravidade 8.8, e a CVE-2026-56164, divulgada na terça-feira do alerta.
Segundo o relato, invasores usam essas falhas para roubar machine keys do Internet Information Services, o servidor web da Microsoft. Essas chaves ajudam o servidor a validar informações, e uma vez em mãos erradas abrem caminho para acesso persistente e não autorizado. O texto também aponta o uso de desserialização, processo em que dados recebidos são convertidos em objetos internos. Quando isso ocorre sem controle, um invasor pode abusar do mecanismo para executar ações indevidas e liberar malware.
Empresas com Microsoft SharePoint Server local precisam tratar o tema como prioridade imediata. Alguns pontos merecem revisão direta:
O primeiro passo é confirmar se a empresa opera versões locais do Microsoft SharePoint Server e consultar os avisos da Microsoft, da CISA e do Center for Internet Security. A Rapid7 também alertou que a CVE-2026-55040, uma falha de bypass de autenticação, pode permitir execução remota de código quando combinada com outra falha, e que a correção só deve chegar no ciclo de atualização de agosto da Microsoft. Até lá, as equipes precisam reforçar o monitoramento, revisar a exposição dos servidores e priorizar a investigação em ambientes críticos.
O material disponível trata das versões locais do Microsoft SharePoint Server. Não há informação sobre impacto no SharePoint Online.
Foram citadas a CVE-2026-32201, a CVE-2026-45659 e a CVE-2026-56164 e, em alerta da Rapid7, a CVE-2026-55040.
O material informa que a Rapid7 espera a correção da CVE-2026-55040 apenas no ciclo de atualização de agosto da Microsoft.
Se sua organização usa Microsoft SharePoint Server local, a LC SEC pode apoiar na priorização de riscos, na investigação de exposição e na validação de controles antes e depois das correções.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://www.cybersecuritydive.com/news/cisa-multiple-vulnerabilities-sharepoint-exploitation/825306/