Microsoft SharePoint RCE CVE-2026-45659 CISA KEV 5 min lectura

Microsoft SharePoint Server: RCE por deserialización autenticada ya está bajo ataque activo (CVE-2026-45659)

CISA agregó el 1 de julio de 2026 la CVE-2026-45659 al catálogo KEV por explotación activa en campo. La falla de deserialización en SharePoint Server permite ejecución remota de código con sólo permisos de Site Member, lo que pone en riesgo cualquier SharePoint on-prem expuesto o accesible a terceros. Si todavía no aplicaste las actualizaciones de mayo de 2026, este es el momento.

IP
IPSecureNetwork
July 3, 2026

Contexto del incidente

El 1 de julio de 2026 la Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos agregó la CVE-2026-45659 a su catálogo Known Exploited Vulnerabilities (KEV) con fecha límite de remediación obligatoria para agencias federales civiles el 4 de julio de 2026 — apenas tres días desde la publicación. La vulnerabilidad, catalogada como deserialización de datos no confiables (CWE-502) en Microsoft SharePoint Server, permite que un atacante autenticado ejecute código remoto en el servidor contando solamente con permisos de Site Member, un privilegio que en cualquier despliegue empresarial suele estar ampliamente distribuido entre usuarios internos, contratistas, proveedores externos y colaboradores remotos.

El CVSS base asignado por Microsoft es 8.8 (Important), con vector CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. El alcance (Scope) figura como Unchanged, pero el impacto es total: confidencialidad alta, integridad alta y disponibilidad alta. Esto significa que un único usuario malicioso con un permiso habitual puede tomar control del servidor SharePoint, plantar web shells persistentes y, sobre todo, moverse lateralmente hacia Active Directory —que es la pieza crítica de este problema—. SharePoint Server on-prem rara vez vive aislado: casi siempre está integrado al bosque AD corporativo. La cadena de ataque termina con un atacante sentado sobre un host autenticado en AD, con permisos equivalentes a cualquier miembro legítimo del sitio, y con un footprint difícil de distinguir de la actividad normal de la plataforma.

Las versiones afectadas por la CVE-2026-45659 son SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016 (el mismo KB cubre también SharePoint Server 2016). Microsoft publicó los parches el 12 de mayo de 2026 bajo los KB KB5002863 (Subscription), KB5002870 (2019) y KB5002868 (Enterprise 2016), y emitió el aviso inicial el 21 de mayo. Una actualización informativa del 26 de mayo confirmó que si ya instalaste los updates de mayo no tenés que hacer nada extra, porque el CVE fue omitido por error del boletín original. El crédito del descubrimiento correspondió al investigador identificado como MEOW, dentro del programa coordinated disclosure de Microsoft.

Lo que vuelve urgente a esta CVE no es el CVSS —hay RCE con score más alto esperando parche— sino la combinación de tres factores que se dan al mismo tiempo: (1) SharePoint Server on-prem es uno de los activos más extendidos en empresas, gobierno y educación, (2) la barrera de autenticación es Site Member, un permiso que se otorga masivamente, y (3) CISA confirma con evidencia propia que la explotación está ocurriendo, no que es teórica. La cobertura periodística ya agrupó la campaña bajo el nombre ToolShell, y se reportaron actividades compatibles en organizaciones gubernamentales y educativas durante la última semana de junio. SharePoint Online (Microsoft 365) no aplica porque tiene modelo de patching gestionado; este incidente es estrictamente on-prem.

Un servidor SharePoint nunca es un activo aislado: cada credencial Site Member que entregaste a un proveedor es un borde de ataque hacia tu Active Directory.

¿Cómo proteger tu infraestructura?

1. Aplicá las actualizaciones de mayo 2026 sin demora

Si tu SharePoint Server on-prem está por debajo de las builds de mayo 2026, está en el listado KEV y Microsoft confirma explotación activa en campo. Descargá los KB específicos para tu edición desde el catálogo oficial: KB5002863 para SharePoint Server Subscription Edition, KB5002870 para SharePoint Server 2019 y KB5002868 para SharePoint Enterprise Server 2016 (también cubre SharePoint Server 2016). Verificá la build posterior a la instalación con (Get-SPFarm).BuildVersion desde SharePoint Management Shell: la build esperada debe ser igual o posterior a 16.0.5513.1000 (rama 2016) o 16.0.10379.20000 (rama Subscription/2019) según tu edición. Programá el reinicio del IIS AppPool y del servicio OWSTIMER en una ventana de mantenimiento, porque SharePoint no aplica el parche hasta que el servicio de timer reconoce la nueva build y propaga la actualización al resto del farm.

2. Reducí la superficie de cuentas Site Member

El atacante de la CVE-2026-45659 no necesita privilegios administrativos, sólo un Site Member válido. Revisá las membresías de todos los SharePoint Groups en cada Web Application con PowerShell: Get-SPSite -Limit All | ForEach-Object { Get-SPUser -Site $_ -Limit All } | Group-Object -Property LoginName para mapear qué cuentas tienen acceso real. Las cuentas que detectes como inactivas hace más de 60 días, las de ex-contratistas o vendors que ya no operan, y las cuentas de servicio que se crearon en algún momento y nadie limpió son candidatas inmediatas a revocación. Si tenés sitios de SharePoint con membresías de tipo Everyone o NT AUTHORITY\Authenticated Users, pasalas a grupos explícitos: el modelo Everyone es exactamente la superficie de ataque que esta CVE monetiza, porque convierte cualquier credencial del dominio —incluyendo cuentas de servicio y cuentas de máquina— en un vector válido hacia la deserialización.

3. Endurecé autenticación y segmentá el acceso a SharePoint

Un SharePoint on-prem expuesto a internet —directamente o vía VPN con políticas laxas— convierte cualquier cuenta Site Member en un pie de red inicial. Si no podés sacar el SharePoint de internet, exigí MFA en el ADFS o en el reverse proxy (WAF, F5 APM, Citrix ADC, etc.) que está delante. Si estás detrás de un WAF de aplicación, configurá rate limiting y filtrado por User-Agent conocido, y bloqueá el patrón típico de la deserialización: POST a páginas .aspx con payloads grandes en el cuerpo que contienen tipos .NET como System.Data.Services.Internal.ExpandedWrapper o namespaces Microsoft.SharePoint... serializados. Activá también el switch <system.web.extensions><scripting><scriptResourceHandler enableCompression="false" enableCaching="false"> en el web.config de cada Web Application y, si podés, forzá el modo de validación de ViewState MAC a Always. Esto mitiga toda la familia de fallas CWE-502 en SharePoint, no sólo CVE-2026-45659.

4. Monitoreá señales de explotación en logs ULS e IIS

La deserialización en SharePoint suele dejar huella en los logs ULS con entradas de la categoría SharePoint Foundation y origen Diagnostics o Runtime. Activá el log verbose en los servidores front-end temporalmente si tu EDR o SIEM no está capturando ULS: editá el directorio C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\LOGS\ y revisá por strings como BinaryFormatter, SerializationException, ViewState mac validation failed o referencias a System.Web.UI.ObjectStateFormatter. En paralelo, monitoreá los IIS logs del SharePoint por POST grandes a páginas .aspx autenticadas, en horarios anómalos o desde IPs que normalmente no consumen la plataforma. Sumá una regla específica en tu SIEM para que dispare cuando una cuenta de SharePoint con rol Site Member origine, en una ventana de 60 minutos, conexiones Kerberos hacia hosts que no son los DCs del dominio: es el patrón típico de un atacante que, después de la deserialización, intenta Kerberoasting sobre el resto del bosque AD.

Indicadores de compromiso (IoC)

Para los equipos azules, los siguientes indicadores son específicos de SharePoint on-prem bajo explotación por deserialización (CWE-502) y están calibrados contra la CVE-2026-45659. Aplicalos sobre tu SIEM, EDR o proxy reverso; ninguno de estos IoCs es genérico al mundo de la ciberseguridad, sino que apunta a patrones observables sólo en este tipo de plataforma.

  • w3wp.exe con procesos hijos sospechosos: procesos hijos de w3wp.exe lanzando cmd.exe, powershell.exe, mshta.exe o rundll32.exe después de requests autenticados a SharePoint. Comportamiento típico del RCE post-deserialización.
  • SharePoint ULS con BinaryFormatter o SerializationException: entradas en C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\LOGS\ conteniendo System.Runtime.Serialization.Formatters.Binary.BinaryFormatter o System.Runtime.Serialization.SerializationException con nivel Error o Critical.
  • ViewState MAC validation failed en ráfaga: requests a páginas .aspx de SharePoint rechazadas por ViewState MAC, seguidas inmediatamente de requests con MAC válido desde la misma IP de origen — patrón típico de fuzzing del atacante sobre el endpoint de autenticación.
  • POST .aspx con payloads grandes: en IIS logs, métodos POST contra /_layouts/15/, /_vti_bin/ o /_layouts/16/ con cuerpo mayor a 50 KB desde IPs que normalmente no escriben a SharePoint. Suele indicar el envío del payload deserializado.
  • Kerberos anómalo desde el server SharePoint: Kerberos TGS requests desde la cuenta de máquina del SharePoint server hacia servicios que normalmente no consume (DCSync, LDAP sobre krbtgt, SPNs de SQL Server de otras aplicaciones). Indica movimiento lateral post-RCE.
// Splunk SPL: detectar intentos de deserialización en SharePoint ULS logs
index=sharepoint_uls
  ("BinaryFormatter" OR "SerializationException"
   OR "ViewState MAC" OR "ObjectStateFormatter"
   OR "System.Web.UI.ObjectStateFormatter")
| rex field=_raw "^(?<ts>\d{4}-\d{2}-\d{2}\s+\d{2}:\d{2}:\d{2}\.\d+)\s+(?<pid>\S+)\s+(?<area>\S+)\s+(?<category>\S+)\s+(?<eventid>\S+)\s+(?<level>\S+)"
| where level IN ("Error", "Critical", "Unexpected")
| stats count BY host, area, category, eventid
| where count > 5
| sort -count

// Regla complementaria: correlación Kerberos post-SharePoint-auth
index=wineventlog EventCode=4769 (TargetUserName="$SharePointServerMachine$")
| stats dc(TargetServiceName) AS servicios_por_ip BY IpAddress, TargetUserName
| where servicios_por_ip > 25
| sort -servicios_por_ip

🛡️ ¿Tu SharePoint Server está protegido contra RCE por deserialización?

En IPSecureNetwork hacemos auditorías específicas sobre plataformas de colaboración on-prem: SharePoint, Exchange y Confluence. Revisamos builds vigentes, superficie de cuentas Site Member, reglas de WAF contra la familia CWE-502, y telemetría de ULS/IIS para descartar explotación previa al parche. Si tu SharePoint estuvo expuesto entre mayo y julio de 2026, este es el momento de auditar antes de que el próximo KEV te encuentre desprevenido.

SOLICITAR AUDITORÍA →