Vulnerabilidade no SharePoint entra no catálogo KEV da CISA

Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

CISA confirma exploração ativa da falha crítica no Microsoft SharePoint e exige atualização imediata dos servidores.

A vulnerabilidade no SharePoint voltou a acender um alerta máximo para administradores de TI em todo o mundo. A Cybersecurity and Infrastructure Security Agency (CISA) incluiu a CVE-2026-58644 em seu catálogo Known Exploited Vulnerabilities (KEV) depois da confirmação de que a falha está sendo explorada ativamente por invasores. A decisão reforça a gravidade do problema e aumenta a pressão para que empresas realizem a atualização imediata de seus ambientes.

A vulnerabilidade afeta o Microsoft SharePoint Server, uma das plataformas mais utilizadas para colaboração corporativa, gerenciamento de documentos e intranets empresariais. Como se trata de uma falha de execução remota de código (RCE) com pontuação CVSS 9.8, um invasor pode comprometer completamente um servidor vulnerável sem necessidade de autenticação, abrindo caminho para espionagem, roubo de dados e movimentação lateral dentro da rede.

A inclusão de uma falha no catálogo KEV da CISA representa muito mais do que um simples aviso. Esse catálogo reúne apenas vulnerabilidades que já possuem evidências concretas de exploração no mundo real. Em outras palavras, não se trata de um risco hipotético, mas de uma ameaça ativa que exige resposta imediata das organizações.

Entendendo a vulnerabilidade no SharePoint CVE-2026-58644

A CVE-2026-58644 é uma falha crítica de desserialização de dados não confiáveis, permitindo que um invasor envie informações especialmente manipuladas ao servidor para executar código arbitrário com elevados privilégios.

Na prática, isso significa que um atacante pode assumir o controle do servidor comprometido, instalar malwares, implantar ransomware, criar contas administrativas ou utilizar o equipamento como ponto de partida para ataques contra outros sistemas da organização.

Sua classificação CVSS 9.8 demonstra o nível máximo de criticidade, principalmente por combinar facilidade de exploração com impacto extremamente elevado sobre confidencialidade, integridade e disponibilidade.

4-excelentes-alternativas-gratuitas-e-de-codigo-aberto-para-o-microsoft-sharepoint

O que é desserialização de dados não confiáveis?

Embora o termo pareça complexo, o conceito pode ser entendido com uma analogia simples.

Imagine que um servidor recebe um pacote contendo instruções para reconstruir um objeto armazenado anteriormente. Esse processo é chamado de desserialização.

O problema surge quando o servidor aceita esse pacote sem validar adequadamente seu conteúdo. Um criminoso pode modificar essas informações para incluir comandos maliciosos. Durante a reconstrução do objeto, esses comandos acabam sendo executados automaticamente.

Em vez de apenas restaurar dados legítimos, o sistema passa a executar instruções enviadas pelo atacante.

Esse tipo de vulnerabilidade é particularmente perigoso porque normalmente permite a execução remota de código (RCE), considerada uma das categorias mais críticas de falhas de segurança.

Baixa complexidade e alto impacto

Outro fator que torna a vulnerabilidade no SharePoint especialmente preocupante é sua baixa complexidade de exploração.

Segundo a Microsoft, o ataque não exige conhecimento detalhado do ambiente interno da vítima. Em muitos casos, basta que o servidor esteja exposto e vulnerável para que tentativas automatizadas obtenham sucesso.

Além disso, a exploração é considerada altamente repetível, permitindo que atacantes executem diversas tentativas até conseguirem comprometer completamente o ambiente.

Esse cenário explica por que organizações de segurança passaram a tratar a vulnerabilidade como prioridade máxima.

Vulnerabilidade no SharePoint: versões afetadas e cenário de ameaças

A falha afeta as principais versões locais do Microsoft SharePoint Server, incluindo:

  • SharePoint Server Subscription Edition
  • SharePoint Server 2019
  • SharePoint Server 2016

Organizações que ainda utilizam essas versões devem verificar imediatamente se as atualizações de segurança mais recentes foram aplicadas.

Além da CVE-2026-58644, a CISA alertou para um conjunto de vulnerabilidades relacionadas que podem ser utilizadas durante as etapas posteriores da invasão.

Entre elas estão:

  • CVE-2026-32201
  • CVE-2026-45659
  • CVE-2026-56164

Essas falhas podem auxiliar invasores em atividades de pós exploração, incluindo o roubo de chaves do Internet Information Services (IIS), comprometimento persistente do ambiente e manutenção do acesso mesmo após a aplicação de algumas correções.

Na prática, isso significa que simplesmente instalar o patch pode não ser suficiente caso o servidor já tenha sido comprometido anteriormente.

Como proteger a sua infraestrutura contra a vulnerabilidade no SharePoint

Diante da exploração ativa da CVE-2026-58644, a CISA publicou um conjunto de recomendações que devem ser tratadas como prioridade pelos administradores.

Aplicar imediatamente as atualizações de segurança

A principal medida continua sendo instalar todos os patches disponibilizados pela Microsoft para eliminar a vulnerabilidade.

Quanto maior o atraso na atualização, maior a chance de comprometimento.

Ativar a Interface de Verificação Antimalware (AMSI)

A AMSI (Antimalware Scan Interface) amplia a capacidade de detecção de atividades maliciosas dentro do ambiente SharePoint, permitindo que soluções de segurança identifiquem cargas maliciosas antes de sua execução.

Realizar varredura antes de rotacionar as chaves do IIS

Caso exista qualquer suspeita de invasão, a CISA recomenda executar uma análise completa do ambiente antes da substituição das chaves do IIS.

A simples rotação dessas chaves sem eliminar a presença do invasor pode dificultar futuras investigações.

Configurar registros personalizados

A criação de logs personalizados facilita a identificação de comportamentos anômalos, tentativas de exploração e movimentações suspeitas realizadas após uma invasão.

Esses registros podem ser fundamentais durante atividades de resposta a incidentes.

Isolar servidores expostos à internet

Sempre que possível, servidores SharePoint devem permanecer protegidos por camadas adicionais de segurança e não ficar diretamente acessíveis pela internet.

Segmentação de rede, VPNs corporativas e controles adicionais reduzem significativamente a superfície de ataque.

Bloquear o acesso à Administração Central

A Administração Central do SharePoint deve permanecer inacessível a usuários externos.

Restringir seu acesso reduz as possibilidades de exploração caso outras camadas de segurança sejam comprometidas.

Além dessas medidas, a CISA também incluiu recentemente vulnerabilidades críticas que afetam o Fortinet FortiSandbox em seu conjunto de alertas, reforçando que o cenário atual exige atenção constante à gestão de vulnerabilidades em diferentes plataformas corporativas.

Conclusão e os próximos passos

A inclusão da CVE-2026-58644 no catálogo KEV confirma que a vulnerabilidade no SharePoint deixou de ser apenas uma preocupação teórica para se tornar uma ameaça concreta enfrentada por organizações em todo o mundo.

Servidores de colaboração frequentemente armazenam documentos estratégicos, informações financeiras, credenciais e dados sensíveis. Quando comprometidos, podem servir como porta de entrada para ataques muito maiores contra toda a infraestrutura corporativa.

Mais do que aplicar atualizações emergenciais, este episódio reforça a importância de manter uma política contínua de gerenciamento de vulnerabilidades, monitoramento ativo, segmentação de redes e revisão periódica das configurações de segurança.

Se sua organização utiliza Microsoft SharePoint Server, este é o momento ideal para revisar o estado das atualizações, validar a integridade dos servidores e confirmar que todas as recomendações da CISA e da Microsoft foram implementadas.

Compartilhe este artigo
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.