# CVE-2026-20963 - Microsoft SharePoint RCE Não Autenticado > [!danger] CISA KEV - Prazo de Remediação: 2026-03-21 (VENCIDO) > Esta vulnerabilidade está no **CISA Known Exploited Vulnerabilities Catalog** (adicionada em 2026-03-18). Prazo federal **VENCIDO em 2026-03-21**. Aplicar Patch Tuesday março 2026 com urgência máxima. Exploração ativa confirmada contra servidores [[sharepoint]] on-premises. > CVSS: 9.8 · EPSS: ~95% · Vendor: Microsoft · Patch: Sim · CISA KEV: Sim (2026-03-18) · **PRAZO VENCIDO: 2026-03-21** ## Resumo ```mermaid graph TB A["🔍 CVE-2026-20963 · CVSS 9.8<br/>Microsoft SharePoint - RCE"] --> B["🎯 Localizar SharePoint Exposto<br/>Server on-premises acessível<br/>sem VPN ou restrição de rede"] B --> C["💥 Desserialização Insegura<br/>Requisição HTTP maliciosa<br/>sem autenticação necessária"] C --> D["🔧 RCE no Servidor SharePoint<br/>Execução de código arbitrário<br/>contexto do serviço IIS"] D --> E["🔧 Acesso a Dados Corporativos<br/>Documentos, listas, credenciais<br/>movimentação lateral via NTLM"] E --> F["💀 Comprometimento Corporativo<br/>CISA KEV - prazo vencido<br/>exploração ativa confirmada"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2026-20963** é uma vulnerabilidade crítica de desserialização no **Microsoft SharePoint** que permite execução remota de código por um atacante não autenticado via rede. A falha foi corrigida pelo Patch Tuesday de março de 2026 e adicionada ao CISA KEV com prazo de remediação já vencido. A vulnerabilidade reside em componentes de processamento de requisições no SharePoint Server. Um atacante remoto sem autenticação pode enviar requisições especialmente construídas para triggerar desserialização insegura e executar código arbitrário no contexto do servidor SharePoint. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **~95%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em **2026-03-18** - prazo federal **VENCIDO em 2026-03-21** - Exploit público: **RCE não autenticado** via rede confirmado ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código remoto:** executar código arbitrário no servidor SharePoint sem autenticação - **Acesso a dados sensíveis:** ler, modificar ou excluir documentos e dados corporativos armazenados - **Comprometimento de identidade:** pivôt para Active Directory e sistemas integrados - **Lateral movement:** comprometer usuários com acesso ao SharePoint para movimentação lateral > [!latam] Impacto no Brasil e América Latina > O Microsoft SharePoint é amplamente implantado em empresas brasileiras de médio e grande porte e em órgãos do governo federal como plataforma de colaboração e gestão documental. Um comprometimento pode expor documentos confidenciais, contratos e dados pessoais sujeitos à **LGPD**. O risco é **alto** para organizações que não aplicaram o Patch Tuesday de março de 2026, especialmente nos setores financeiro e governamental. O **CTIR Gov** recomenda aplicação imediata em sistemas da administração pública federal brasileira. Setores [[financial]] e [[government]] são os mais expostos na região. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Microsoft | SharePoint Server | múltiplas versões | Patch Tuesday 2026-03-10 | | Microsoft | SharePoint Online | mitigado pela Microsoft | N/A | **Não afetado:** SharePoint Online (gerenciado pela Microsoft); SharePoint Server com Patch Tuesday março 2026 aplicado. ## Patch e Mitigação **Patch oficial:** - Advisory: Microsoft Security Response Center - CVE-2026-20963 - Versão corrigida: Patch Tuesday março 2026 (2026-03-10) - Data de lançamento do patch: **2026-03-10** **Como aplicar:** 1. Verificar versão atual do SharePoint via Central Administration 2. Fazer backup completo do banco de dados SharePoint antes de atualizar 3. Aplicar cumulative update via Windows Update ou download manual do Microsoft Update Catalog 4. Executar PSConfig Wizard após atualização de binários 5. Verificar integridade das configurações pós-patch **Mitigações temporárias** (quando patch não é imediatamente possível): - Restringir acesso ao SharePoint por IP via WAF ou firewall - Desabilitar acesso anônimo ao SharePoint - Monitorar logs IIS para requisições anômalas com payloads de desserialização - Ativar Microsoft Defender for Endpoint com detecção de exploits habilitada ## Exploração Ativa **Status atual:** ⚠️ **EXPLORAÇÃO ATIVA - PRAZO CISA KEV VENCIDO** **Evidências de uso em ataques:** - CISA KEV Catalog: adicionado em 2026-03-18, indicando exploração ativa confirmada - prazo 2026-03-21 (vencido) - BleepingComputer: incluído no Patch Tuesday de março 2026 como vulnerabilidade crítica com exploração ativa **Grupos de ameaça utilizando:** - Ator(es) não identificados públicamente - exploração confirmada pela presença no KEV ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-18**. - **Prazo de remediação para agências federais EUA:** 2026-03-21 (**VENCIDO**) - **Recomendação para o setor privado:** remediar com urgência - presença na KEV indica exploração ativa confirmada - **Referência:** [CISA KEV - CVE-2026-20963](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Detecção e Resposta ### Splunk SPL ```spl index=web_logs sourcetype=iis | search (cs_uri_stem="*/_api/*" OR cs_uri_stem="*/_vti_bin/*" OR cs_uri_stem="*/_layouts/*") method=POST | eval payload_size=len(cs_body) | where payload_size > 500 AND (status=200 OR status=500) | eval suspicious=if(like(cs_body, "%ObjectStateFormatter%") OR like(cs_body, "%TypeConverterAttribute%") OR like(cs_body, "%BinaryFormatter%"), "CRITICAL", "REVIEW") | where suspicious="CRITICAL" | table _time, c_ip, cs_uri_stem, status, suspicious, cs_body | sort -_time ``` ```spl index=endpoint sourcetype=wineventlog EventCode=4688 | search (ParentImage="*w3wp.exe*") | search (NewProcessName="*cmd.exe*" OR NewProcessName="*powershell.exe*" OR NewProcessName="*certutil.exe*" OR NewProcessName="*mshta.exe*" OR NewProcessName="*bitsadmin.exe*") | eval risk=case( like(CommandLine, "%certutil%"), "DOWNLOAD_RISK", like(CommandLine, "%powershell%Invoke%"), "EXEC_RISK", like(CommandLine, "%bitsadmin%"), "DOWNLOAD_RISK", 1=1, "SHELL_RISK" ) | table _time, Computer, Account, ParentImage, NewProcessName, CommandLine, risk | sort -_time ``` ### Microsoft Sentinel KQL ```kql // Detecção de desserialização maliciosa via SharePoint endpoints W3CIISLog | where TimeGenerated > ago(24h) | where sSiteName contains "SharePoint" | where csUriStem has_any ("/_api/", "/_vti_bin/", "/_layouts/") | where csMethod == "POST" | where scStatus in (200, 500) | where csBytes > 500 | project TimeGenerated, cIP, csUriStem, csMethod, scStatus, csBytes | order by TimeGenerated desc ``` ```kql // Detecção de processos filhos anômalos do IIS worker (pós-exploração SharePoint) DeviceProcessEvents | where TimeGenerated > ago(7d) | where InitiatingProcessFileName == "w3wp.exe" | where FileName has_any ("cmd.exe", "powershell.exe", "certutil.exe", "mshta.exe", "bitsadmin.exe", "cscript.exe", "wscript.exe") | project TimeGenerated, DeviceName, AccountName, InitiatingProcessFileName, FileName, ProcessCommandLine | order by TimeGenerated desc ``` ### Regra Sigma ```yaml title: Microsoft SharePoint CVE-2026-20963 RCE via Deserialization id: c3d4e5f6-a7b8-9012-cdef-012345678901 status: experimental description: > Detecta exploração da CVE-2026-20963 identificando processos filho suspeitos gerados pelo IIS worker process (w3wp.exe) do SharePoint, indicativo de execução de código remoto via desserialização. references: - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20963 author: RunkIntel date: 2026-03-23 tags: - attack.initial_access - attack.t1190 - attack.execution - attack.t1059 - cve.2026-20963 logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: '\w3wp.exe' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\certutil.exe' - '\mshta.exe' - '\bitsadmin.exe' - '\cscript.exe' - '\wscript.exe' filter_legitimate: CommandLine|contains: - 'healthcheck' - 'warmup' - 'SPTimerService' condition: selection_parent and selection_child and not filter_legitimate falsepositives: - Scripts de manutenção legítimos do SharePoint Farm (documentar exceções) - Timer jobs do SharePoint que invocam processos externos level: critical ``` ### EDR - CrowdStrike Falcon **Custom IOA Rule - IIS worker (SharePoint) gerando shells:** ``` Processo pai: w3wp.exe Linha de comando do pai contém: SharePoint Processo filho: cmd.exe, powershell.exe, certutil.exe, mshta.exe, bitsadmin.exe ``` **Threat Hunting Query (Falcon Insight/NG-SIEM):** ``` event_simpleName=ProcessRollup2 | search ParentBaseFileName="w3wp.exe" AND ParentCommandLine="*SharePoint*" | search FileName IN (cmd.exe, powershell.exe, certutil.exe, mshta.exe, bitsadmin.exe, cscript.exe) | eval risk=case( FileName="certutil.exe", "DOWNLOAD_LOLBIN", FileName="powershell.exe", "EXEC_RISK", FileName="mshta.exe", "EXEC_LOLBIN", 1=1, "SHELL_RISK") | table _time, ComputerName, UserName, FileName, CommandLine, risk | sort -_time ``` ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-20131|CVE-2026-20131]] · [[cve-2026-21262|CVE-2026-21262]] · [[cve-2026-26127|CVE-2026-26127]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] **Setores em risco:** [[financial]] · [[government]] · [[technology]] ## Referências - [BleepingComputer - Microsoft March 2026 Patch Tuesday](https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/) - 2026-03-10 - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - 2026-03-18