O Patch Tuesday de julho de 2026 da Microsoft atraiu atenção imediata não apenas por sua escala recorde, mas porque dois zero-days ativamente explorados atingiram algumas das partes mais sensíveis da infraestrutura empresarial. O CVE-2026-56164 atinge o SharePoint Server local e é explorável remotamente em ataques de baixa complexidade, enquanto o CVE-2026-56155 atinge os Serviços de Federação do Active Directory e permite escalonamento de privilégios a partir de uma base local de baixo privilégio. Juntos, eles mostram por que os defensores não devem classificar o risco deste mês apenas pela pontuação.
O bug do SharePoint é a questão mais urgente voltada para a internet. Relatórios públicos dizem que ele não requer credenciais nem interação do usuário, tornando-o especialmente perigoso para organizações que ainda executam o SharePoint auto-hospedado. A falha do AD FS tem um alcance mais restrito, mas é igualmente importante na prática porque a infraestrutura de federação está no centro da identidade e confiança empresariais. Uma vez que os atacantes alcancem essa camada, o impacto pode se estender muito além de um único host.
Análise do CVE-2026-56164 e CVE-2026-56155
For Análise do CVE-2026-56164, o ponto chave é que tanto a Microsoft quanto relatórios externos descrevem a falha como já explorada em ataques reais contra o SharePoint local. É uma questão de elevação de privilégio, mas ao contrário de muitos bugs de privilégio, é explorável remotamente e de baixa complexidade, o que o torna muito mais perigosamente operacional do que o rótulo sugere.
Os detalhes atuais para o CVE-2026-56164 permanecem limitados. A Microsoft não explicou publicamente a cadeia de exploração exata, o ator responsável ou o comportamento completo após o comprometimento. O que está claro é que a falha afeta o SharePoint Server auto-hospedado e deve ser tratada como um evento de patching de alta prioridade, especialmente porque as mesmas atualizações de julho também corrigem problemas adicionais de execução remota de código e desvio de segurança do SharePoint.
O zero-day do AD FS tem um perfil diferente. O CVE-2026-56155 afeta os Serviços de Federação do Active Directory e começa com privilégios locais baixos, o que significa que é mais provável ser útil depois que um atacante já obtém algum acesso. Dito isso, o AD FS é exatamente o tipo de infraestrutura de identidade que os atacantes desejam uma vez que estão dentro de uma rede, porque ele está no caminho de autenticação para o resto do ambiente.
No momento da escrita, não há PoC público para o CVE-2026-56164 e nenhum IOC detalhado publicamente para o CVE-2026-56155 nos relatórios citados. Isso significa que os defensores devem focar menos na detecção baseada em assinaturas e mais na redução da exposição, na implantação de patches e na revisão pós-comprometimento dos sistemas mais propensos a serem abusados.
Mitigação do CVE-2026-56164 e CVE-2026-56155
A resposta recomendada pela Microsoft é direta: corrija ambas as falhas imediatamente. Para o SharePoint, habilitar o Modo Completo do AMSI pode ajudar a amenizar ataques, mas o patching continua sendo a prioridade porque as atualizações de julho também fecham fraquezas adicionais do SharePoint que os atacantes podem encadear. Isso torna a detecção do CVE-2026-56164 menos sobre esperar por uma telemetria perfeita e mais sobre confirmar quais servidores estão expostos, voltados para a internet e ainda sem patch.
Para o AD FS, a correção está incluída nas atualizações do Windows e Windows Server, e a Microsoft também começou a fortalecer a lista de controle de acesso no container do AD FS Distributed Key Manager. Na prática, a mitigação do CVE-2026-56155 deve ser tratada tanto como um exercício de patching quanto de fortalecimento do nível de identidade.
Para detectar o CVE-2026-56155, as equipes de segurança devem priorizar os servidores de federação, validar que as atualizações relevantes foram aplicadas e revisar em busca de mudanças de privilégio local suspeitas ou abuso de infraestrutura de identidade. A mesma lógica se aplica ao SharePoint: inventariar todos os servidores locais, corrigir rapidamente e revisar se alguma instância acessível externamente mostrou sinais de acesso incomum ou abuso pós-autenticação desde a janela de exploração observada mais cedo.
VERIFICAR DETECÇÕES DISPONÍVEIS
Aviso: Conteúdo de detecção pode não estar disponível para todos os CVEs. Verifique a Plataforma SOC Prime para cobertura atual. Se você não encontrar detecções relevantes agora, por favor, volte a verificar mais tarde.
FAQ
O que são CVE-2026-56164 e CVE-2026-56155 e como funcionam?
CVE-2026-56164 é uma falha de elevação de privilégio ativamente explorada no Microsoft SharePoint Server local que é explorável remotamente em ataques de baixa complexidade. CVE-2026-56155 é uma falha de elevação de privilégio ativamente explorada nos Serviços de Federação do Active Directory que começa a partir de privilégios locais baixos e pode ajudar atacantes a se aprofundarem na infraestrutura de identidade.
Quando o CVE-2026-56164 e CVE-2026-56155 foram descobertos pela primeira vez?
Os relatórios públicos não divulgam uma data de descoberta privada para nenhum dos problemas. O que se sabe é que a Microsoft lançou publicamente correções em julho de 2026 e creditou os respondedores de incidentes para ambos, o que sugere fortemente a descoberta durante a investigação de ataques no mundo real.
Qual é o impacto do CVE-2026-56155 nos sistemas?
O impacto mais sério do CVE-2026-56155 é a escalonamento de privilégio em um host AD FS, o que pode importar muito mais do que o requisito de acesso local implica porque o AD FS assina e intermedia a confiança de identidade em todo o ambiente. Nas mãos erradas, o comprometimento desse papel pode apoiar movimento lateral mais amplo e abuso subsequente.
O CVE-2026-56164 e o CVE-2026-56155 ainda podem me afetar em 2026?
Sim. As organizações ainda podem estar expostas em 2026 se não aplicaram as atualizações de julho de 2026 da Microsoft, especialmente se executarem SharePoint local voltado para a internet ou manterem servidores AD FS que já estão acessíveis aos atacantes através de uma base existente.
Como posso me proteger contra o CVE-2026-56164 e CVE-2026-56155?
Corrija imediatamente, ative o Modo Completo do AMSI no SharePoint como um controle adicional, implante as atualizações do Windows e Windows Server para o AD FS e revise seus sistemas de colaboração e identidade mais sensíveis em busca de sinais de abuso pós-comprometimento. Neste caso, a velocidade importa mais do que esperar por uma divulgação pública de exploração mais completa.