CISA Adiciona Falhas de Microsoft e SonicWall ao Catálogo KEV
A CISA incorpora quatro novas vulnerabilidades ativamente exploradas que afetam o SonicWall SMA1000, Microsoft SharePoint e AD FS ao catálogo KEV.

O catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, na sigla em inglês) gerenciado pela Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) é um dos recursos de inteligência de ameaças mais importantes do mundo. Quando uma falha de segurança é adicionada a essa lista, não se trata de um alerta teórico: significa que agentes de ameaças, tanto cibercriminosos comuns quanto grupos patrocinados por estados, estão explorando ativamente a falha em campanhas de ataque em andamento.
No dia 14 de julho de 2026, a CISA atualizou seu catálogo incorporando quatro novas vulnerabilidades de alta gravidade que afetam soluções perimétricas da SonicWall e produtos corporativos essenciais do ecossistema da Microsoft (SharePoint e AD FS). Essa inclusão obriga agências federais americanas e empresas privadas globais a priorizar imediatamente a mitigação desses riscos ativos.
Detalhamento das vulnerabilidades adicionadas ao catálogo
As novas entradas no catálogo KEV englobam falhas que vão desde a falsificação de requisições no lado do servidor até o bypass de autenticação. Abaixo são detalhadas as características dos CVEs agregados:
| Identificador CVE | Fabricante e Produto Afetado | Tipo de Vulnerabilidade | Gravidade (Pontuação CVSS) | Data Limite de Correção KEV |
|---|---|---|---|---|
| CVE-2026-15409 | SonicWall SMA1000 | Server-Side Request Forgery (SSRF) | Crítica (10.0) | 17 de Julho de 2026 |
| CVE-2026-15410 | SonicWall SMA1000 | Injeção de Código no Console de Gerenciamento | Alta (7.2) | 17 de Julho de 2026 |
| CVE-2026-56155 | Microsoft Active Directory AD FS | Escalabilidade Local de Privilégios | Média-Alta (6.8) | Mitigação Imediata |
| CVE-2026-56164 | Microsoft SharePoint Server | Escalabilidade de Privilégios de Rede por Ausência de Autenticação | Alta (7.8) | Mitigação Imediata |
Análise técnica das ameaças e seus vetores de ataque
1. O duplo perigo perimétrico no SonicWall SMA1000
Os dispositivos da série SMA1000 (Secure Mobile Access) da SonicWall são appliances físicos e virtuais desenvolvidos para prover acesso remoto seguro (VPN e SSL-VPN) a recursos internos de redes corporativas. A falha CVE-2026-15409 representa a gravidade máxima possível na escala CVSS. É uma vulnerabilidade SSRF que permite a invasores externos não autenticados forçar o dispositivo de borda a enviar requisições HTTP maliciosas a interfaces de administração locais ou servidores internos protegidos.
Por sua vez, a falha CVE-2026-15410 descreve uma injeção de código dentro do portal de administração do console. Ao encadear ambas as falhas, cibercriminosos podem contornar controles de acesso do firewall e executar código arbitrário com privilégios de administrador do sistema no dispositivo de borda da SonicWall.
2. Escalabilidade de privilégios no Active Directory Federation Services (AD FS)
AD FS é a tecnologia da Microsoft usada para permitir o logon único (SSO) federado entre diferentes sistemas empresariais. A vulnerabilidade CVE-2026-56155 é classificada como granularidade insuficiente nos controles de acesso. Um invasor local com credenciais de usuário básico de domínio pode explorar essa falha para elevar seus privilégios até o nível de administrador do serviço AD FS, assumindo o controle total sobre os tokens de autenticação da organização e obtendo o poder de suplantar executivos.
3. Acesso não autenticado no SharePoint Server
O SharePoint Server da Microsoft é o centro de colaboração de arquivos e intranets de milhares de empresas. A falha CVE-2026-56164 ocorre porque funções críticas do SharePoint carecem de processos de validação de autenticação. Um agente de ameaça que tenha visibilidade de rede para o servidor SharePoint pode elevar privilégios remotamente, permitindo-lhe baixar arquivos confidenciais e bancos de dados inteiros sem possuir uma conta de usuário legítima.
O desafio do gerenciamento de patches em Julho de 2026
A inclusão dessas falhas no catálogo KEV coincide cronologicamente com o lançamento de uma das atualizações de "Patch Tuesday" mais densas e complexas da história da Microsoft, corrigindo um total de 622 vulnerabilidades em diferentes ambientes.
Para as equipes de TI e cibersegurança, esse grande volume de alertas torna a triagem extremamente difícil. Contudo, a diretiva da CISA fornece uma orientação clara: recursos de correção imediata devem priorizar falhas que já estão sendo ativamente exploradas no mundo real. Aplicar patches em controladores AD FS e servidores de SharePoint corporativos deve ser a primeira linha de ação antes de lidar com o restante das atualizações não exploradas do Patch Tuesday.
Fortalecendo a autenticação de acessos com TOTP
Uma grande parcela desses incidentes de escalabilidade de privilégios e bypass de autenticação em consoles ou portais administrativos pode ser altamente mitigada ao proteger os acessos com autenticação de dois fatores (2FA) estrita baseada em senhas de uso único baseadas no tempo (TOTP).
O algoritmo TOTP adiciona um fator dinâmico que muda de forma periódica (tipicamente a cada 30 segundos), tornando inútil o roubo de senhas estáticas ou a escalabilidade de privilégios básica, já que o invasor precisaria possuir o segredo criptográfico do token físico ou de software do usuário.
Para gerar com autonomia e segurança seus códigos de verificação de dois fatores, você pode contar com o Gerador de TOTP da TecnoCrypter.
Demonstração técnica do algoritmo TOTP (RFC 6238)
O funcionamento que dá suporte ao TOTP consiste em combinar uma chave secreta pré-compartilhada com a hora atual do sistema usando funções hash. Abaixo é exibido um exemplo em Python de como os sistemas validam e geram um token de 6 dígitos sob as especificações da IETF (RFC 6238):
import time
import hmac
import hashlib
import struct
def gerar_codigo_totp(secret: bytes, interval: int = 30, digits: int = 6) -> str:
"""
Implementação básica de geração de tokens TOTP.
"""
# 1. Calcular as etapas de tempo decorridas desde o Epoch do Unix
etapas_tempo = int(time.time() / interval)
# Empacotar o valor do tempo em formato binário de 64 bits (Big Endian)
mensagem = struct.pack(">Q", etapas_tempo)
# 2. Gerar o hash HMAC-SHA1 usando o segredo e a mensagem de tempo
assinatura = hmac.new(secret, message, hashlib.sha1).digest()
# 3. Truncamento dinâmico para extrair 4 bytes de assinatura de forma determinista
offset = assinatura[-1] & 0x0f
codigo_binario = struct.unpack(">I", assinatura[offset:offset+4])[0] & 0x7fffffff
# 4. Formatar os dígitos necessários
token = codigo_binario % (10 ** digits)
return str(token).zfill(digits)
# Segredo de demonstração (geralmente decodificado de Base32)
chave_mfa_demo = b"CHAVE_SECRETA_SISTEMAS_2026"
print("Token de acesso dinâmico atual:", gerar_codigo_totp(chave_mfa_demo))
Integrar validações baseadas nesse modelo para proteger consoles do AD FS ou portais administrativos bloqueia de imediato acessos remotos não autorizados derivados de exploits que não possuam o token físico de verificação.
Recomendações de ação imediata para equipes de TI
Se a sua organização utiliza sistemas Windows Server, SharePoint on-premises ou dispositivos de segurança SonicWall, aconselha-se aplicar as seguintes tarefas preventivas imediatamente:
- Parcheamento urgente do SonicWall SMA1000: Atualize o firmware dos seus dispositivos SMA1000 conforme as instruções providas pelo fabricante antes do prazo crítico estipulado pela CISA.
- Análise forense de logs: Dada a confirmação de exploração ativa, antes de atualizar os sistemas, faça cópias de backup dos logs de conexões do SonicWall e SharePoint para auditar solicitações anômalas que sugiram um comprometimento prévio.
- Restrição de acesso a consoles: Desative a exposição direta na internet de painéis de administração do Active Directory Federation Services e portais do Microsoft SharePoint, permitindo o acesso exclusivo por meio de redes corporativas virtuais privadas (VPNs) seguras.
- Compartilhamento seguro de segredos de MFA: Ao distribuir chaves de autenticação TOTP para a equipe administrativa, evite enviá-las em texto plano via e-mail ou chat. Siga as orientações listadas em nosso guia sobre como compartilhar senhas de forma segura na Internet.
Conclusão
O catálogo KEV da CISA funciona como um lembrete constante de que a segurança corporativa é ganha na velocidade de resposta. A exploração ativa de falhas críticas em ferramentas da Microsoft e dispositivos SonicWall mostra a necessidade de implementar estratégias robustas de identidade. Para se aprofundar sobre arquiteturas seguras e proteção de dados em trânsito, recomendamos consultar as nossas guias de criptografia do lado do cliente e a importância do uso de sistemas de criptografia de ponta a ponta nos fluxos corporativos.

