Microsoft publica recorde de 622 CVEs em Patch Tuesday; CISA acelera alerta para SharePoint

O ciclo de julho é o maior da história do programa. CISA adicionou três falhas de SharePoint sob exploração ativa no mesmo dia. Triagem virou o gargalo real da operação.
A Microsoft lançou correções para 622 CVEs no Patch Tuesday desta terça, 14 de julho, o maior volume em um único ciclo desde o início do programa. Dois desses bugs, em Active Directory e SharePoint Server, estão em exploração ativa como zero-day. Um terceiro é publicamente conhecido, embora ainda não explorado.
Na mesma data, a CISA emitiu alerta específico sobre exploração ativa de três CVEs distintas de SharePoint on-premises. As três, CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, permitem execução remota de código e escalada de privilégios sem autenticação, e entram no catálogo Known Exploited Vulnerabilities (KEV) com prazo de correção compulsória para agências federais. As versões afetadas incluem SharePoint Server Subscription Edition, 2019 e 2016.
O detalhe operacional que preocupa é a persistência pós-exploração descrita pela agência. Os atacantes extraem chaves de máquina do IIS e usam técnicas de desserialização para manter acesso mesmo após o patch. Aplicar a atualização não fecha o incidente. Times de resposta que operam SharePoint on-premises precisam rotacionar chaves de máquina, revisar logs de IIS e caçar artefatos residuais antes de considerar o ambiente limpo.
Onde o problema deixa de ser Microsoft
A elevação de privilégios no VMSwitch do Windows (CVE-2026-57092, CVSS 9.9) é a vulnerabilidade individual mais grave do ciclo. VMSwitch é o componente do Hyper-V que separa cargas dentro do mesmo host físico. Uma escalada nesse ponto rompe o isolamento entre máquinas virtuais no mesmo servidor, o que torna a falha crítica em ambientes multi-tenant e em provedores que consolidam clientes em hardware compartilhado. Azure Stack HCI e clusters privados que rodam Hyper-V estão na primeira linha de exposição.
Analistas do Zero Day Initiative apontaram, em análise do ciclo anterior, que Patch Tuesday deixou de ser exercício mensal e passou a exigir triagem quase diária. O volume de 622 correções em um único mês bate por larga margem o recorde histórico do programa. Times de vulnerability management que operavam com cadência mensal precisam agora processar disclosures de terceiros e de vendors em janela quinzenal, sob risco de acumular dívida de patching.
O que muda para o CIO em Frankfurt, Londres e Tóquio
A obrigação legal da CISA se restringe a agências federais dos EUA, mas a inclusão no KEV funciona como sinal técnico global. Bancos europeus que rodam SharePoint on-premises, incluindo Deutsche Bank e BNP Paribas, e grupos financeiros no Japão como MUFG e Mizuho, tratam a lista como parâmetro de compliance interno mesmo sem estarem sob a jurisdição direta da agência americana. Auditores externos usam a KEV como benchmark em rotinas de SOC 2 e ISO 27001.
Na Índia, os provedores de serviços gerenciados que atendem clientes globais têm janela mais estreita. TCS, Wipro e Infosys operam contratos de patching e SIEM para dezenas de bancos e seguradoras americanos, e a inclusão no KEV dispara SLAs internos de correção, tipicamente entre 24 e 72 horas para vulnerabilidades ativas. Contratos plurianuais preveem multa por descumprimento, o que empurra a operação para regime de plantão até o fechamento do ciclo. Para o Brasil, o cálculo é semelhante: bancos que rodam SharePoint on-premises em ambientes regulados pelo Banco Central se apoiam em circular sobre gestão de risco cibernético que trata a KEV como referência técnica, ainda que não haja obrigação formal.
O que não está no comunicado
Nem a Microsoft nem a CISA nomearam grupos por trás da exploração. Não há atribuição pública a atores estatais ou financeiramente motivados nesta terça. A ausência é relevante: em ciclos anteriores em que SharePoint foi alvo de campanha coordenada, a atribuição inicial saiu de vendedores privados de threat intel, não do governo, e apontou para grupos ligados à China e à Rússia. A falta de nome nesta rodada não significa ausência de atacantes conhecidos, apenas que a agência optou por não confirmar publicamente.
O gargalo real do ciclo é humano. Segundo o CVEbrief de terça, o volume de disclosures críticas cresceu cerca de 700% em relação ao dia anterior. Times de vulnerability management com dez pessoas ou menos, que são a maioria das operações Global 2000, não conseguem priorizar seiscentos itens em três dias úteis. A pergunta operacional deixou de ser "quando aplicar" e passou a ser "o que aceitar como risco residual até o próximo ciclo", com decisão explícita de negócio sobre quais servidores ficam expostos por uma semana adicional. A resposta a essa pergunta é onde CISOs vão gastar os próximos quinze dias, não na aplicação técnica do patch.