Blog

Microsoft SharePoint tem 3 falhas exploradas para roubo de chaves

Escrito por Luiz Claudio | 15/07/2026 22:00:59
Vulnerabilidade

Microsoft SharePoint sob ataque, saiba o risco

CISA alerta exploração ativa em versões locais do SharePoint Server.

Navegacao

O que aconteceu Como o ataque funciona Sinais de alerta O que fazer agora Checklist pratico

Resumo rapido

A CISA alertou que três vulnerabilidades em versões locais do Microsoft SharePoint Server estão sendo exploradas. Os ataques buscam roubar chaves do servidor web Internet Information Services e sustentar acesso não autorizado. Pesquisadores ainda apontam uma quarta falha que pode ser encadeada com outra, sem correção prevista antes do ciclo de agosto da Microsoft.

Neste artigo voce vai aprender:

  • Quais falhas do Microsoft SharePoint foram citadas no alerta.
  • Por que o roubo de chaves do Internet Information Services aumenta o risco.
  • Como falhas podem ser combinadas em uma cadeia de ataque.
  • Quais sinais merecem atenção das equipes de segurança.
  • Quais ações priorizar enquanto novas correções não chegam.

Três falhas exploradas ao mesmo tempo

A Cybersecurity and Infrastructure Security Agency, CISA, alertou que três vulnerabilidades em versões locais do Microsoft SharePoint Server estão sendo exploradas em julho de 2026. Como o SharePoint concentra documentos e fluxos de colaboração, a exposição pesa tanto em órgãos públicos quanto em empresas privadas. As falhas citadas são a CVE-2026-32201, divulgada em abril, a CVE-2026-45659, com gravidade 8.8, e a CVE-2026-56164, divulgada na terça-feira do alerta.

Roubo de chaves e persistência no servidor

Segundo o relato, invasores usam essas falhas para roubar machine keys do Internet Information Services, o servidor web da Microsoft. Essas chaves ajudam o servidor a validar informações, e uma vez em mãos erradas abrem caminho para acesso persistente e não autorizado. O texto também aponta o uso de desserialização, processo em que dados recebidos são convertidos em objetos internos. Quando isso ocorre sem controle, um invasor pode abusar do mecanismo para executar ações indevidas e liberar malware.

Onde as equipes devem olhar primeiro

Empresas com Microsoft SharePoint Server local precisam tratar o tema como prioridade imediata. Alguns pontos merecem revisão direta:

  • servidores SharePoint expostos à internet ou acessíveis por muitos usuários;
  • indícios de acesso não autorizado persistente;
  • alterações inesperadas em configurações do Internet Information Services e suas chaves;
  • alertas de segurança envolvendo CVE-2026-32201, CVE-2026-45659, CVE-2026-56164 ou CVE-2026-55040;
  • arquivos ou comportamentos compatíveis com malware após tentativas de exploração.

O que fazer enquanto a correção não chega

O primeiro passo é confirmar se a empresa opera versões locais do Microsoft SharePoint Server e consultar os avisos da Microsoft, da CISA e do Center for Internet Security. A Rapid7 também alertou que a CVE-2026-55040, uma falha de bypass de autenticação, pode permitir execução remota de código quando combinada com outra falha, e que a correção só deve chegar no ciclo de atualização de agosto da Microsoft. Até lá, as equipes precisam reforçar o monitoramento, revisar a exposição dos servidores e priorizar a investigação em ambientes críticos.

Checklist pratico

  1. Liste todos os servidores Microsoft SharePoint Server locais e verifique se aparecem nos avisos publicados.
  2. Revise logs, configurações do Internet Information Services e sinais de acesso persistente não autorizado.
  3. Acompanhe o ciclo de atualização de agosto da Microsoft e aplique as correções assim que disponíveis.

Perguntas frequentes

O Microsoft SharePoint Online foi citado no alerta?

O material disponível trata das versões locais do Microsoft SharePoint Server. Não há informação sobre impacto no SharePoint Online.

Quais CVEs foram citadas?

Foram citadas a CVE-2026-32201, a CVE-2026-45659 e a CVE-2026-56164 e, em alerta da Rapid7, a CVE-2026-55040.

Já existe correção para todas as falhas?

O material informa que a Rapid7 espera a correção da CVE-2026-55040 apenas no ciclo de atualização de agosto da Microsoft.

Proteja sua empresa com a LC SEC

Se sua organização usa Microsoft SharePoint Server local, a LC SEC pode apoiar na priorização de riscos, na investigação de exposição e na validação de controles antes e depois das correções.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.cybersecuritydive.com/news/cisa-multiple-vulnerabilities-sharepoint-exploitation/825306/