⚡ Não perca: notÃcia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou na terça-feira que os invasores estão explorando ativamente três vulnerabilidades para hackear instâncias locais do SharePoint Server expostas na Internet.
Essas falhas de segurança (rastreadas como CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164) afetam todas as versões do SharePoint Server auto-hospedadas com suporte, incluindo o SharePoint Server Subscription Edition (a versão local mais recente, que usa um modelo de "atualização contÃnua").
Conforme detalhado em um comunicado de terça-feira, os invasores estão explorando essas vulnerabilidades para contornar a autenticação, obter execução remota de código e realizar atividades pós-exploração, incluindo o roubo de chaves de máquinas dos Serviços de Informações da Internet e a obtenção de persistência para implantar malware em sistemas comprometidos.
A agência de segurança cibernética dos EUA também sinalizou mais duas vulnerabilidades do SharePoint Server (CVE-2026-55040 e CVE-2026-58644), que a Microsoft corrigiu na terça-feira e marcou como alvos atraentes para invasores, embora ainda não se saiba que tenham sido exploradas em liberdade.
O grupo de vigilância de segurança da Internet Shadowserver rastreia atualmente cerca de 10.000 servidores Microsoft SharePoint expostos à Internet, com mais de 800 deles não corrigidos contra as vulnerabilidades CVE-2026-32201 e CVE-2026-45659.
No entanto, não há detalhes sobre quantos deles são vulneráveis aos ataques CVE-2026-56164 ou são honeypots.
Instâncias do SharePoint Server expostas online (Shadowserver)
A CISA instou as equipes de segurança a monitorar de perto os servidores afetados em busca de sinais de exploração e recomendou a aplicação dos patches mais recentes da Microsoft, verificando a instalação bem-sucedida, encurtando os ciclos de patch, bem como habilitando a Interface de verificação antimalware do Windows (integração AMSI para aplicativos da web do SharePoint e usando detecções do Microsoft Defender Antivirus (MDAV) para detectar e remediar o comprometimento.
Medidas adicionais de proteção incluem a busca e a correção de artefatos de intrusão antes da rotação de chaves de máquina IIS, o estabelecimento de registros personalizados para monitorar atividades anômalas, evitando a exposição direta de servidores SharePoint à Internet, a menos que necessário, e a revisão das orientações oficiais de reforço de segurança do SharePoint Server da Microsoft.
Também é aconselhável bloquear o acesso externo à Administração Central do SharePoint e restringir a comunicação do farm e do banco de dados aos sistemas necessários. Quando a exposição for necessária, a CISA também recomenda colocar os servidores atrás de um proxy reverso de Camada 7 ou de um controle de segurança de camada de aplicativo semelhante.
A CISA adicionou as três vulnerabilidades exploradas ativamente ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 14 de abril (CVE-2026-32201), 1º de julho (CVE-2026-45659) e 14 de julho (CVE-2026-56164).
As agências federais têm até 17 de julho para proteger os servidores SharePoint afetados pelo CVE-2026-56164 sob a Diretiva Operacional Vinculante (BOD) 26-04 ou descontinuá-los se as mitigações não puderem ser aplicadas.
No total, desde novembro de 2021, a CISA sinalizou 11 vulnerabilidades do Microsoft SharePoint que foram exploradas em ataques, sendo 7 também exploradas em ataques de ransomware.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
Essas falhas de segurança (rastreadas como CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164) afetam todas as versões do SharePoint Server auto-hospedadas com suporte, incluindo o SharePoint Server Subscription Edition (a versão local mais recente, que usa um modelo de "atualização contÃnua").
Conforme detalhado em um comunicado de terça-feira, os invasores estão explorando essas vulnerabilidades para contornar a autenticação, obter execução remota de código e realizar atividades pós-exploração, incluindo o roubo de chaves de máquinas dos Serviços de Informações da Internet e a obtenção de persistência para implantar malware em sistemas comprometidos.
A agência de segurança cibernética dos EUA também sinalizou mais duas vulnerabilidades do SharePoint Server (CVE-2026-55040 e CVE-2026-58644), que a Microsoft corrigiu na terça-feira e marcou como alvos atraentes para invasores, embora ainda não se saiba que tenham sido exploradas em liberdade.
O grupo de vigilância de segurança da Internet Shadowserver rastreia atualmente cerca de 10.000 servidores Microsoft SharePoint expostos à Internet, com mais de 800 deles não corrigidos contra as vulnerabilidades CVE-2026-32201 e CVE-2026-45659.
No entanto, não há detalhes sobre quantos deles são vulneráveis aos ataques CVE-2026-56164 ou são honeypots.
Instâncias do SharePoint Server expostas online (Shadowserver)
A CISA instou as equipes de segurança a monitorar de perto os servidores afetados em busca de sinais de exploração e recomendou a aplicação dos patches mais recentes da Microsoft, verificando a instalação bem-sucedida, encurtando os ciclos de patch, bem como habilitando a Interface de verificação antimalware do Windows (integração AMSI para aplicativos da web do SharePoint e usando detecções do Microsoft Defender Antivirus (MDAV) para detectar e remediar o comprometimento.
Medidas adicionais de proteção incluem a busca e a correção de artefatos de intrusão antes da rotação de chaves de máquina IIS, o estabelecimento de registros personalizados para monitorar atividades anômalas, evitando a exposição direta de servidores SharePoint à Internet, a menos que necessário, e a revisão das orientações oficiais de reforço de segurança do SharePoint Server da Microsoft.
Também é aconselhável bloquear o acesso externo à Administração Central do SharePoint e restringir a comunicação do farm e do banco de dados aos sistemas necessários. Quando a exposição for necessária, a CISA também recomenda colocar os servidores atrás de um proxy reverso de Camada 7 ou de um controle de segurança de camada de aplicativo semelhante.
A CISA adicionou as três vulnerabilidades exploradas ativamente ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas em 14 de abril (CVE-2026-32201), 1º de julho (CVE-2026-45659) e 14 de julho (CVE-2026-56164).
As agências federais têm até 17 de julho para proteger os servidores SharePoint afetados pelo CVE-2026-56164 sob a Diretiva Operacional Vinculante (BOD) 26-04 ou descontinuá-los se as mitigações não puderem ser aplicadas.
No total, desde novembro de 2021, a CISA sinalizou 11 vulnerabilidades do Microsoft SharePoint que foram exploradas em ataques, sendo 7 também exploradas em ataques de ransomware.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #cisa #alerta #administradores #para #corrigir #falhas #exploradas #ativamente #no #sharepoint
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário