Dois administradores, uma correção, um julho muito diferente

Imagine duas empresas com o mesmo servidor SharePoint local. Uma aplicou a atualização de segurança da Microsoft de maio de 2026 na semana em que saiu. A outra arquivou-a como rotina e seguiu em frente, tranquilizada pela própria nota da Microsoft de que a exploração era menos provável. Em 1 de julho, a agência norte-americana CISA acrescentou essa mesma falha, CVE-2026-45659, ao seu catálogo de vulnerabilidades exploradas conhecidas, citando provas de ataques ativos em circulação. O primeiro administrador já estava seguro. O segundo tem agora um problema urgente com um prazo público associado.

A CISA deu às agências federais norte-americanas até 4 de julho para corrigir. Essa data não é a sua obrigação, mas a inclusão é o seu aviso: uma vulnerabilidade que alguém desvalorizou em maio está a ser usada contra alvos reais em julho.

A falha em termos simples

A CVE-2026-45659 é uma vulnerabilidade de execução remota de código causada por desserialização insegura de dados não confiáveis, com uma pontuação de gravidade de 8.8 em 10. Na prática, significa que um atacante pode fazer o servidor executar o código que escolher. Afeta os produtos locais, ou seja o SharePoint Server Subscription Edition, o SharePoint Server 2019 e o SharePoint Enterprise Server 2016, e não o SharePoint alojado na nuvem no Microsoft 365.

O detalhe que aumenta o risco é a baixa barreira de entrada. Explorar a falha não exige direitos de administrador; basta uma única conta com permissões comuns de Membro do site. A maioria das organizações concede esse nível de acesso a prestadores, pessoal temporário e dezenas de utilizadores correntes. Uma única dessas credenciais, obtida por phishing ou reutilizada, é toda a chave.

O fosso entre improvável e explorada

Quando a Microsoft lançou a correção em maio, rotulou a falha como de exploração menos provável, uma previsão razoável que se revelou errada em semanas. Esse fosso é a razão pela qual as classificações de gravidade do fornecedor devem definir a sua ordem de correção, não a sua decisão de corrigir. Uma classificação prevê o comportamento do atacante; uma inclusão da CISA nas vulnerabilidades exploradas regista-o. Quando as duas divergem, prevalece o registo, e acaba de prevalecer.

O padrão não é novo. Os servidores de colaboração locais, expostos à internet e ricos em dados internos, estão entre o software mais fiavelmente atacado nos parques empresariais. Uma nota de gravidade reduzida é uma previsão, e as previsões são precisamente aquilo que os atacantes são pagos para desmentir.

Porque a NIS2 muda o que está em jogo, e o que fazer agora

Para os operadores europeus, a consequência é tanto regulatória como técnica. Sob a diretiva NIS2, as organizações abrangidas devem gerir as vulnerabilidades conhecidas e podem enfrentar escrutínio e sanções se não o fizerem. Em Portugal, a transposição portuguesa da NIS2 dá corpo a este quadro. Uma falha que consta de uma lista pública de vulnerabilidades exploradas, com uma correção disponível desde maio, é quase a prova mais clara possível de que existia uma solução e não foi aplicada. Após um incidente, é o primeiro documento que um investigador levantará.

A ação é restrita e imediata. Confirme se opera alguma das três versões locais afetadas do SharePoint. Se sim, aplique a atualização de maio de 2026 agora e procure sinais de comprometimento em vez de presumir que a atualização por si só fecha a porta. Depois trate o catálogo da CISA, e não o rótulo de gravidade do fornecedor, como o seu gatilho para o próximo caso deste tipo, porque há sempre um seguinte.