Microsoft SharePoint on-premise afronta aquesta setmana una doble amenaça activa. El zero-day CVE-2026-32201 — un error de spoofing i cross-site scripting sense autenticació requerida que va ser pedaçat el 14 d’abril i que la CISA va afegir al catàleg KEV aquell mateix mes — segueix sent explotat activament en els més de 1.300 servidors SharePoint on-premise exposats a internet que no han aplicat el pedàç. I ahir, 27 de maig, Microsoft va publicar el CVE-2026-45659 (CVSS 8.8), un nou error d’execució remota de codi per deserialització de dades no confiables a SharePoint que qualsevol usuari autenticat pot explotar. Amb 44 dies transcorreguts des del primer pedàç — exactament el temps mitjà de remediació que el DBIR 2026 va documentar ahir mateix — el mapa de risc és clar: SharePoint on-premise sense actualitzar és superfície d’atac activa ara mateix.

Què se sap del zero-day CVE-2026-32201 i del nou RCE CVE-2026-45659?

CVE-2026-32201 — Zero-day actiu, pedàç disponible des del 14 d’abril:

  • Tipus de vulnerabilitat: spoofing amb cross-site scripting (XSS) per validació incorrecta d’inputs a Microsoft Office SharePoint.
  • CVSS 6.5: sense autenticació requerida, complexitat d’atac baixa, sense interacció de l’usuari necessaris, explotable de forma remota.
  • Versions afectades: SharePoint Server 2016, 2019 i Subscription Edition.
  • Pedàç disponible: des del 14 d’abril de 2026. SharePoint SE CU3, KB5002659 per a SharePoint 2016, KB5002658 per a SharePoint 2019.
  • CISA KEV: afegit a l’abril de 2026. Termini per a agències federals dels EUA: 28 d’abril de 2026 (ja vencút).
  • Explotació activa confirmada: Microsoft va confirmar atacs reals. La telemetria de Microsoft Threat Intelligence documenta que l’explotació va començar almenys set dies abans de l’avís d’abril.
  • Escala d’exposició: més de 1.300 servidors SharePoint on-premise amb exposició directa a internet identificats globalment.

CVE-2026-45659 — Nou RCE publicat ahir 27 de maig:

  • Tipus de vulnerabilitat: execució remota de codi per deserialització de dades no confiables a Microsoft Office SharePoint.
  • CVSS 8.8: requereix autenticació, però qualsevol usuari amb compte a l’organització pot explotar-lo. Sense privilegis d’administrador necessaris.
  • Versions afectades: SharePoint Server 2016, 2019 i Subscription Edition.
  • Pedàç disponible: publicat al Patch Tuesday de maig 2026, ahir 27 de maig.

Per què SharePoint on-premise és objectiu permanent de primer ordre

  1. Màxima densitat d’informació sensible en un sol sistema. Contractes, actes de consell, plans estratègics, credencials d’accés compartides i dades de clients. Un comproms de SharePoint equival a una exfiltració dels actius d’informació més valuosos de l’empresa.
  2. Exposició directa a internet en entorns on-premise. Més de 1.300 servidors identificats globalment sense WAF ni reverse proxy amb inspecció.
  3. Integració profunda amb Active Directory i l’ecosistema Microsoft. Un comproms de SharePoint és un punt d’entrada a la resta de l’ecosistema corporatiu Microsoft.
  4. Historial d’explotació massiva documentada. CVE-2026-32201 és el tercer error crític pre-autenticació a SharePoint divulgat en dotze mesos.

Com funciona l’atac: del XSS al robatori de sessió i a l’RCE

Vector 1 — CVE-2026-32201 (XSS / Spoofing, sense autenticació):

  1. L’atacant identifica servidors SharePoint on-premise accessibles des d’internet.
  2. Envia una sol·licitud especialment construïda que explota CVE-2026-32201: la validació incorrecta d’inputs permet injectar scripts maliciosos que s’executaran al navegador de qualsevol usuari que accedeixi a aquella pàgina.
  3. L’script maliciós roba cookies de sessió, tokens d’autenticació NTLM i accedeix als documents de l’usuari.

Vector 2 — CVE-2026-45659 (RCE per deserialització, usuari autenticat):

  1. Un atacant amb un compte d’usuari vàlid envia dades especialment construïdes a l’endpoint de SharePoint afectat.
  2. SharePoint deserialitza les dades sense validació suficient, permetent executar codi arbitrari al servidor.
  3. Amb execució de codi al servidor, l’atacant pot moure’s lateralment, exfiltrar el contingut complet o establir persistència.

Escenari combinat de màxim risc: un atacant extern explota CVE-2026-32201 per robar credencials, obté accés autenticat i usa CVE-2026-45659 per obtenir execució de codi. Dos CVEs, accés complet al servidor.

Lliçons clau i checklist de mitigació

Pas 1 — Verificar versions i exposició (immediat):

  • Confirmar quines versions de SharePoint Server on-premise té l’organització. Totes estan afectades per tots dos CVEs.
  • Verificar si SharePoint està accessible directament des d’internet.
  • Comprovar si el pedàç d’abril (CVE-2026-32201) ha estat aplicat: SharePoint SE CU3, KB5002659 per a SharePoint 2016, KB5002658 per a SharePoint 2019.

Pas 2 — Aplicar tots dos pedàços com a emergència:

  • CVE-2026-32201 (pedàç d’abril): si no s’ha aplicat encara, és urgent: porta 44 dies disponible i l’explotació activa està confirmada.
  • CVE-2026-45659 (pedàç de maig, publicat ahir): aplicar el Patch Tuesday de maig 2026 tan aviat com la finestra de manteniment ho permeti.

Pas 3 — Reduïr la superfície d’exposició mentre es pedàça:

  • Si SharePoint està exposat directament a internet sense WAF, considerar restringir l’accés mitjançant VPN o zero-trust network access fins que tots dos pedàços estiguin aplicats.

Pas 4 — Monitoritzar en cerca d’explotació prèvia:

  • Revisar els logs d’IIS de SharePoint dels darrers 44 dies per cercar sol·licituds amb payloads JavaScript o patrons de deserialització inusuals.
  • Revisar els audit logs de SharePoint per cercar accessos no autoritzats a biblioteques de documents crítics.
  • Cercar comptes d’usuari amb activitat anormal: accessos fora d’horari o volum inusual de descàrregues.

La ciberseguretat com a prioritat estratègica

El patró d’aquesta setmana és el mateix que va documentar el DBIR 2026 ahir: les organitzacions tarden 43 dies de mitjana a pedaçar, i CVE-2026-32201 porta exactament 44 dies amb pedàç disponible. Per a les organitzacions espanyoles amb SharePoint on-premise, la pregunta d’avui és directa: està el pedàç d’abril aplicat?

Apolo Cybersecurity: protecció d’entorns SharePoint on-premise i resposta davant vulnerabilitats Microsoft actives

A Apolo Cybersecurity ajudem organitzacions amb SharePoint on-premise a verificar l’estat de pedàçament de CVE-2026-32201 i CVE-2026-45659, implementar mitigacions d’exposició mentre s’apliquen els pedàços, revisar els logs de SharePoint en cerca d’explotació prèvia, auditar permisos i accessos anòmals en biblioteques de documents crítics, i establir plans de pedàçament accelerat per a plataformes Microsoft on-premise d’alt risc.

Si la teva organització manté SharePoint Server on-premise i no tens confirmació que el pedàç d’abril està aplicat, aquest dijous al matí és el moment de verificar-ho.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity