CISA marca SharePoint CVE-2026-45659 como explorado em ataques e federais têm até 4 de julho para corrigir

Vulnerabilidade de execução remota corrigida pela Microsoft em 26 de maio ficou meses sem patch em servidores expostos. CISA incluiu no catálogo KEV em 1 de julho e The Hacker News detalhou o ataque em 2 de julho.
O que a CISA acrescentou ao catálogo KEV
A agência americana Cybersecurity and Infrastructure Security Agency (CISA) incluiu em 1 de julho a falha CVE-2026-45659, uma execução remota de código em Microsoft SharePoint Server, no catálogo Known Exploited Vulnerabilities (KEV). A adição fixa 4 de julho como prazo para agências federais civis do Poder Executivo aplicarem o patch, um dos janelamentos mais curtos que a CISA impôs neste ano, sinal do peso que a agência atribui ao ataque em curso. A cobertura detalhada saiu no The Hacker News em 2 de julho.
Com pontuação CVSS 8.8, a falha se origina de desserialização de dados não confiáveis (CWE-502) e afeta as três edições de SharePoint on-premises com suporte: Subscription Edition, Server 2019 e Enterprise Server 2016. A Microsoft distribuiu o patch em 26 de maio, mas o intervalo de 36 dias entre correção e adição ao KEV mostra que quem tinha vulnerabilidade exposta ficou tempo suficiente para virar alvo.
Por que Site Member é o ponto crítico
O detalhe técnico que mais preocupa os responsáveis por SharePoint on-premises é o requisito mínimo de privilégio. O atacante precisa apenas de credencial válida no nível Site Member, o mais baixo da hierarquia colaborativa da plataforma. Em ambientes corporativos típicos, quase todo funcionário tem esse acesso por padrão, o que transforma qualquer credencial vazada em dumps de senhas ou obtida por phishing em rampa direta para execução de código no servidor.
A CISA não divulgou detalhes dos ataques observados, o que é padrão da agência quando existe risco de duplicar a técnica. A Microsoft, procurada pelo The Hacker News, não comentou o vetor específico. O que os analistas de Threat Intelligence de fornecedores como Rapid7 e Tenable observam é a assinatura clássica de grupos que fazem varredura pós-patch: aguardam a divulgação, reproduzem a exploração e caçam alvos que não aplicaram o boletim mensal de maio.
Duas geografias e o mesmo problema estrutural
O alerta é da CISA, mas SharePoint on-premises vive em jurisdições em que a agência americana não tem alcance. Na Suíça, o Swiss Security Insights publicou em paralelo um guia de correção para os bancos privados e o setor público local, lembrando que a versão Subscription Edition ainda é a base documental de bom número de cantões. Na Alemanha, o BSI observa o mesmo padrão em governos estaduais e no setor de defesa, onde SharePoint 2019 segue instalado por questões de soberania de dado. Em ambos os casos, o Site Member como piso de privilégio significa que auditores de tributos, procuradores e fornecedores externos passam a ser vetor de escalada.
O ponto de convergência entre os mercados: em ambientes multinacionais, o patch de maio da Microsoft é distribuído centralmente, mas depende de janelas de manutenção local. Um banco global com SharePoint replicado em oito países aplica o boletim na sede em três dias e pode levar semanas para chegar às unidades distantes. Foi exatamente essa lacuna que a CISA quis fechar quando reduziu o prazo do KEV para três dias úteis.
O que ainda não sabemos
A Microsoft não confirmou publicamente o número de organizações comprometidas nem detalhou o vetor pós-desserialização. A CISA também não. Nesses casos, o rigor jornalístico exige atenção redobrada com o vocabulário. Não há como afirmar que "grupos de ransomware exploram" a falha sem confirmação da vítima ou do órgão regulador. O que temos até o fechamento desta matéria é: a exploração é ativa, o prazo federal é 4 de julho, o patch está disponível desde 26 de maio. O time de segurança que ainda não aplicou o boletim de maio tem menos de 72 horas antes da referência oficial americana virar padrão de auditoria interna em bancos, seguradoras e órgãos públicos.
O custo real do atraso não é multa da CISA. É a próxima linha de exame que auditores internos vão fazer quando a lista KEV virar checklist obrigatório em política ISO 27001 e SOC 2. A partir dessa quarta-feira, todo servidor SharePoint sem o patch de maio se torna finding automático em qualquer revisão de conformidade, e isso vale de Nova York a São Paulo, de Zurique a Cingapura. Para os operadores de nuvem que ainda mantêm sites SharePoint on-premises por exigência regulatória, a conta é ainda pior: a exceção de infraestrutura legada vira o vetor de risco que carrega o resto do parque.