A CVE-2026-45659 é uma vulnerabilidade crítica de execução remota de código (RCE) no Microsoft SharePoint Server, que afeta o SharePoint Server Subscription Edition, o SharePoint Server 2019 e o SharePoint Enterprise Server 2016. Com pontuação CVSS de 8.8, a falha decorre da desserialização de dados não confiáveis: um invasor autenticado com nada além de permissões básicas de 'Site Member' pode enviar uma carga serializada manipulada a um servidor SharePoint vulnerável e fazer com que ele execute código arbitrário no contexto do próprio serviço do SharePoint, sem precisar de credenciais de administrador. A Microsoft corrigiu a vulnerabilidade em maio de 2026, mas no início de julho a CISA adicionou a CVE-2026-45659 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) após confirmar exploração ativa no mundo real, dando às agências civis federais dos EUA até 4 de julho de 2026 para corrigir o problema. Isso importa muito além das redes governamentais. O SharePoint está no centro da gestão documental, das intranets e da automação de fluxos de trabalho de milhares de empresas, e os servidores SharePoint on-premises costumam ficar expostos à internet por design, para que funcionários, parceiros e escritórios remotos consigam acessá-los. Uma falha de execução remota de código nessa camada não expõe apenas um aplicativo — ela pode dar a um invasor um ponto de apoio profundo dentro da rede corporativa, a partir do qual é possível roubar credenciais, se mover lateralmente até servidores de arquivos e controladores de domínio, e preparar um comprometimento muito maior. É exatamente por isso que as equipes de segurança precisam do tipo de monitoramento contínuo que um programa gerenciado de cibersegurança oferece, em vez de depender apenas da aplicação de patches, já que um patch só protege depois de instalado em todos os lugares onde o software roda.
A verdadeira história por trás da CVE-2026-45659 não é apenas a vulnerabilidade em si — é a lacuna entre o momento em que um patch fica disponível e o momento em que ele realmente é aplicado em toda uma empresa distribuída. A Microsoft lançou uma correção em maio de 2026, mas em julho a exploração ativa já era generalizada o suficiente para que a CISA a escalasse para a lista KEV, e pesquisadores associaram um grupo de ataques ao Storm-2603, um agente de ameaça conhecido por explorar exatamente esse tipo de vulnerabilidade em servidores on-premises para instalar o ransomware Warlock. Essa janela de dois meses é onde a maioria das violações acontece: organizações multinacionais costumam operar o SharePoint em vários data centers regionais ou provedores de hospedagem, cada um com seu próprio calendário de gestão de mudanças, requisitos de testes e equipe de TI, então um único patch pode levar semanas para chegar a todas as instâncias. Plataformas on-premises como o SharePoint também costumam ficar fora do alcance das ferramentas de segurança nativas da nuvem, deixando uma lacuna de visibilidade que antivírus tradicionais e firewalls de perímetro nunca foram projetados para fechar. Grupos de ransomware sabem disso e industrializaram o processo de varrer a internet em busca de instâncias expostas e sem patch dias após a publicação de um CVE, transformando o que antes era uma janela de meses de relativa segurança em uma medida em horas. Para empresas que operam na América Latina, nos EUA e na Europa, essa lacuna de patching é agravada por operações de TI fragmentadas em diferentes países, inventários de ativos inconsistentes e equipes de TI frequentemente divididas entre redes, telefonia e segurança ao mesmo tempo — exatamente o problema que um provedor centralizado de serviços gerenciados de TI resolve, assumindo a responsabilidade pela gestão de patches, varredura de vulnerabilidades e hardening de configuração em cada unidade, em vez de deixar isso a cargo de qual equipe local perceber o aviso primeiro.
Aplicar patches sozinho não basta quando uma vulnerabilidade já foi explorada no mundo real, por isso as empresas precisam de detecção ativa como camada adicional. Primeiro, um Centro de Operações de Segurança (SOC) gerenciado ingere logs do SharePoint, do IIS e dos servidores Windows subjacentes em uma plataforma SIEM, construindo uma visão em tempo real do comportamento normal versus anômalo do servidor. Segundo, regras de detecção sinalizam as impressões digitais específicas desse ataque: um processo de trabalho do SharePoint (w3wp.exe) gerando inesperadamente shells de comando ou PowerShell, ou uma carga desserializada chegando onde só deveriam existir solicitações web rotineiras. Terceiro, os analistas ficam atentos ao conjunto exato de ferramentas de pós-exploração observado em ataques reais da CVE-2026-45659 — ferramentas de administração remota e túneis como Velociraptor, Cloudflare Tunnels e Zoho Assist, ou sessões SSH iniciadas via Visual Studio Code —, nenhuma das quais pertence a um servidor SharePoint de produção, e qualquer uma delas deveria acionar contenção imediata. Quarto, uma vez confirmado um indicador, analistas de Detecção e Resposta Gerenciadas (MDR) isolam o host afetado, encerram o processo malicioso e caçam movimentação lateral pelo restante da rede antes que operadores de ransomware como o Storm-2603 consigam escalar de um acesso inicial para o comprometimento total do domínio. Esse é o valor central de um serviço gerenciado de SOC, SIEM e MDR: capturar a tentativa de exploração e o comportamento pós-exploração nas horas seguintes a uma tentativa de invasão, e não descobri-la semanas depois, quando a nota de ransomware aparece em cada tela.
O argumento financeiro para fechar essa lacuna é direto. Um ataque de ransomware bem-sucedido após a exploração de uma falha como a CVE-2026-45659 costuma significar dias ou semanas de inatividade, o custo da resposta a incidentes e da perícia forense, possível exposição regulatória caso dados de clientes ou funcionários sejam afetados, e danos à reputação que duram mais que a recuperação técnica. A gestão contínua de vulnerabilidades e o monitoramento 24 horas transformam um risco em aberto em um custo operacional previsível, e para setores regulados — serviços financeiros, saúde, logística — demonstrar aplicação oportuna de patches e capacidade de detecção documentada costuma ser uma exigência de conformidade, não apenas uma boa prática. Há também uma dimensão de cobertura que importa para qualquer organização presente em vários fusos horários: agentes de ameaça não esperam o horário comercial de um único país, então o monitoramento ininterrupto na América Latina, nos EUA e na Europa fecha a lacuna que uma equipe interna com pessoal regional único inevitavelmente deixa aberta. Empresas que combinam gestão proativa de patches com detecção gerenciada consistentemente apresentam tempos de permanência do invasor mais curtos, custos de violação menores e recuperação mais rápida quando um incidente ocorre — a diferença entre um evento de segurança contido e uma crise que interrompe o negócio. Isso também muda a conversa com o conselho e com os clientes: conseguir mostrar uma cadência de patches documentada, um ambiente monitorado e um plano de resposta a incidentes testado é cada vez mais o que separa fornecedores que conquistam contratos empresariais daqueles que os perdem em um questionário de segurança.
A HIT Communications tem mais de 30 anos construindo e protegendo infraestrutura empresarial de telecom e TI na América Latina, nos Estados Unidos e na Europa, e vulnerabilidades como a CVE-2026-45659 estão exatamente no território que operamos todos os dias. Nossa prática de cibersegurança combina um Centro de Operações de Segurança 24/7, correlação de logs baseada em SIEM e Detecção e Resposta Gerenciadas, para que tentativas de exploração contra plataformas como o SharePoint sejam capturadas em tempo real, em vez de descobertas depois do fato. Junto a isso, nossa equipe de serviços gerenciados de TI cuida do trabalho pouco glamouroso, mas essencial, de gestão de patches, varredura de vulnerabilidades e hardening de configuração em cada escritório e data center, para que as correções críticas realmente sejam aplicadas no prazo, em vez de se acumularem em uma fila. E como o ransomware continua sendo o resultado mais comum exatamente desse tipo de exploração, nossos serviços de backup e recuperação em nuvem garantem que, mesmo que um invasor consiga entrar, sua organização tenha um caminho limpo e isolado de volta à operação normal, sem pagar resgate. Para empresas que não têm capacidade interna para acompanhar cada CVE, aplicar patches em cada servidor e manter um SOC 24 horas, essa é a combinação que entregamos como uma única parceira responsável, com equipes locais em cada país onde atuamos, em vez de uma central de atendimento única tratando todas as regiões da mesma forma.
A CVE-2026-45659 é um lembrete de que o software empresarial on-premises continua sendo uma porta de entrada preferida para ransomware, e de que a janela entre o lançamento de um patch e sua exploração ativa continua diminuindo — a Microsoft lançou uma correção em maio de 2026, e em julho a CISA já confirmava ataques reais ligados a operadores de ransomware conhecidos. Empresas que tratam a aplicação de patches como uma tarefa trimestral, ou que não têm detecção em tempo real em seus sistemas on-premises, são as que mais provavelmente descobrirão uma violação só depois que o dano estiver feito. As organizações que avançam mais rápido combinam gestão disciplinada de vulnerabilidades com detecção e resposta gerenciadas, de modo que, mesmo quando um dia zero passa despercebido, ele é capturado em horas, não em semanas. Se sua organização precisa saber se o ambiente SharePoint — ou qualquer outro sistema on-premises — está exposto a ameaças ativas como essa, entre em contato com a HIT Communications para conversar sobre uma avaliação de segurança e um plano para fechar essa lacuna.

Descubra como podemos transformar o seu negócio. Fale com um dos nossos especialistas agora!
Entre em contato