CISA alerta para que correção de falhas do SharePoint

CISA alerta para que correção de falhas do SharePoint que estão sendo exploradas ativamente.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou na terça-feira que invasores estão explorando ativamente três vulnerabilidades para invadir instâncias locais do SharePoint Server expostas à internet.

Essas falhas de segurança (rastreadas como CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164) afetam todas as versões auto-hospedadas do SharePoint Server com suporte, incluindo o SharePoint Server Subscription Edition (a versão local mais recente, que usa um modelo de “atualização contínua”).

Conforme detalhado em um comunicado divulgado na terça-feira , os atacantes estão explorando essas vulnerabilidades para burlar a autenticação, obter execução remota de código e realizar atividades pós-exploração, incluindo o roubo de chaves de máquina do Internet Information Services (IIS) e a obtenção de persistência para implantar malware em sistemas comprometidos.

A agência de cibersegurança dos EUA também sinalizou mais duas vulnerabilidades no SharePoint Server (CVE-2026-55040 e CVE-2026-58644), que a Microsoft corrigiu na terça-feira e classificou como alvos atraentes para atacantes, embora ainda não se saiba se foram exploradas na prática.

O grupo de vigilância de segurança da Internet Shadowserver monitora atualmente quase 10.000 servidores Microsoft SharePoint expostos à Internet , com mais de 800 deles sem as correções necessárias para as vulnerabilidades CVE-2026-32201 e CVE-2026-45659.

No entanto, não há detalhes sobre quantos deles são vulneráveis ​​a ataques CVE-2026-56164 ou se são honeypots.

Instâncias do SharePoint Server expostas online
Instâncias do SharePoint Server expostas online (Shadowserver)

A CISA recomendou que as equipes de segurança monitorassem atentamente os servidores afetados em busca de sinais de exploração e aplicou os patches mais recentes da Microsoft, verificando a instalação bem-sucedida, reduzindo os ciclos de aplicação de patches, além de habilitar a integração da Interface de Verificação Antimalware do Windows (AMSI) para aplicativos da Web do SharePoint e usar as detecções do Microsoft Defender Antivirus (MDAV) para detectar e remediar a violação.

Medidas adicionais de reforço de segurança incluem a busca e correção de artefatos de intrusão antes da rotação das chaves de máquina do IIS, o estabelecimento de registros personalizados para monitorar atividades anômalas, evitar a exposição direta dos servidores SharePoint à internet, a menos que seja necessário, e a revisão das diretrizes oficiais da Microsoft para reforço de segurança do SharePoint Server .

Também é recomendável bloquear o acesso externo à Administração Central do SharePoint e restringir a comunicação entre o farm e o banco de dados aos sistemas necessários. Quando a exposição for necessária, a CISA também recomenda colocar os servidores atrás de um proxy reverso de camada 7 ou controle de segurança similar na camada de aplicação.

A CISA adicionou as três vulnerabilidades ativamente exploradas ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 14 de abril  (CVE-2026-32201), 1º de julho (CVE-2026-45659) e 14 de julho (CVE-2026-56164).

As agências federais têm até 17 de julho para proteger os servidores SharePoint afetados pela vulnerabilidade CVE-2026-56164, de acordo com a Diretiva Operacional Vinculativa (BOD) 26-04, ou descontinuá-los caso não seja possível aplicar medidas de mitigação.

No total, desde novembro de 2021, a CISA identificou 11 vulnerabilidades do Microsoft SharePoint que foram exploradas em ataques, sendo que 7 delas também foram exploradas em ataques de ransomware.

Fonte: BleepingComputer

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

About mindsecblog 3667 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!