O SharePoint é muitas vezes visto como uma plataforma interna de produtividade, mas muitas empresas continuam a ter portais de colaboração, acessos de parceiros ou fluxos de documentos que tocam a internet. O alerta da CISA de 14 de julho recorda que estes sistemas precisam da mesma disciplina operacional que firewalls, VPNs e plataformas de backup.
O alerta da CISA
A CISA indicou estar ciente de exploração ativa das vulnerabilidades CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, um conjunto de falhas que pode permitir acesso não autorizado a instâncias locais de SharePoint Server. A agência afirma que as versões suportadas são afetadas e encaminha os administradores para as atualizações e orientações de reforço da Microsoft.
No mesmo dia, a CISA acrescentou quatro vulnerabilidades ao catálogo Known Exploited Vulnerabilities, incluindo a CVE-2026-56164 no Microsoft SharePoint Server e a CVE-2026-56155 no Microsoft Active Directory Federation Services. Também listou duas falhas em appliances SonicWall SMA1000. A mensagem comum é clara: serviços de identidade, acesso e colaboração expostos devem subir na prioridade de correção.
A análise de julho da Cisco Talos ao Patch Tuesday dá contexto para a triagem. A Talos referiu que a atualização de segurança da Microsoft de julho de 2026 abrangia 622 vulnerabilidades, 57 assinaladas como críticas, e que duas vulnerabilidades divulgadas nesse mês tinham sido exploradas no terreno. Estes números não significam que uma PME deva parar tudo, mas significam que a atualização precisa de dono e processo testado.
Porque isto é relevante para PMEs
Uma pequena empresa pode não pensar no SharePoint como infraestrutura crítica. Na prática, a plataforma pode guardar contratos, ficheiros de recursos humanos, registos de projetos, propostas, documentos de fornecedores e dados de clientes. Se um servidor de colaboração exposto for comprometido, o incidente torna-se rapidamente um problema de continuidade, não apenas de segurança.
As falhas mais prejudiciais são muitas vezes operacionais. Um servidor fica acessível porque, no passado, resolveu um problema de trabalho remoto. As atualizações esperam por uma janela de manutenção que ninguém assumiu. Existem registos, mas ninguém sabe que eventos indicam exploração. Há backups, mas a reposição não é testada desde a última alteração da plataforma.
Por isso, as recomendações da CISA vão além de instalar patches. Incluem ativar e verificar a integração Antimalware Scan Interface em modo completo, rever telemetria à procura de pedidos anómalos e webshells, rodar chaves IIS apenas depois de procurar indícios de intrusão e evitar exposição direta à internet salvo quando exista uma razão forte.
Um plano de resposta prático
Comece por confirmar se a organização usa SharePoint Server, AD FS, appliances SonicWall SMA1000 ou serviços relacionados acessíveis externamente. Inclua portais antigos, acessos de parceiros, ambientes de teste e servidores geridos por fornecedores. Se um serviço está exposto à internet, registe quem é responsável, que dados alcança, quando foi atualizado pela última vez e que registos são guardados.
Depois, reduza a exposição enquanto a correção avança. Quando o SharePoint tem mesmo de continuar acessível, a CISA recomenda colocá-lo atrás de um reverse proxy de camada 7, ou controlo equivalente de aplicação, que exija autenticação e consiga inspecionar tráfego. A Administração Central não deve estar acessível do exterior, e as comunicações com a farm ou a base de dados devem limitar-se aos sistemas necessários.
Por fim, valide a recuperação. Confirme que os backups incluem bases de dados de conteúdo, configuração e serviços de suporte necessários para reconstruir. Teste um caminho de reposição, documente quem pode revogar sessões ou rodar chaves e defina que evidência deve ser preservada antes de limpar sistemas se houver suspeita de comprometimento.
Como a brianda.cloud pode ajudar
A brianda.cloud pode ajudar PMEs a transformar este alerta num plano controlado: revisão de exposição, regras de firewall e reverse proxy, coordenação de atualizações, verificações de identidade, monitorização de registos e validação de backups. O objetivo não é complicar um ambiente pequeno, mas tornar visíveis e assumidos os caminhos críticos.
Para empresas em Portugal e nos Açores, isto é especialmente útil quando a responsabilidade técnica é partilhada entre um generalista interno, um fornecedor de software e um prestador de alojamento ou conectividade. Uma revisão curta e estruturada mostra que sistemas precisam de reforço urgente e quais podem ser calendarizados sem perturbar a operação diária.
Fontes
Esta análise da brianda.cloud baseia-se nas fontes públicas indicadas abaixo. É orientação operacional geral, não aconselhamento forense ou jurídico específico para um incidente.
Fontes consultadas para esta análise:
- CISA Urges SharePoint Hardening After New ExploitationsCybersecurity and Infrastructure Security Agency · 2026-07-14
- CISA Adds Four Known Exploited Vulnerabilities to CatalogCybersecurity and Infrastructure Security Agency · 2026-07-14
- Microsoft Patch Tuesday for July 2026 — Snort rules and prominent vulnerabilitiesCisco Talos · 2026-07-14

