Microsoft SharePoint RCE Deserialización CISA KEV 4 min lectura

SharePoint Server en la mira: RCE con autenticación mínima en deserialización (CVE-2026-45659)

Una falla de deserialización en Microsoft SharePoint Server on-prem permite que un atacante autenticado con permisos de Site Member ejecute código remoto. CISA la agregó al KEV el 1 de julio de 2026 con explotación activa confirmada y fecha de remediación federal ya vencida.

IP
IPSecureNetwork
July 6, 2026

Contexto del incidente

CVE-2026-45659 es una vulnerabilidad de deserialización de datos no confiables (CWE-502) en Microsoft SharePoint Server on-premises. Reportada por el investigador MEOW y parcheada por Microsoft en mayo de 2026, la falla permite que un atacante autenticado con privilegios bajos ejecute código arbitrario en el servidor sin interacción del usuario y por red, con CVSS 8.8 (High) y vector CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

El detalle técnico del advisory de MSRC deja en claro la barrera operativa: "el atacante necesita estar autenticado con permisos de Site Member o superiores, no requiere admin ni privilegios elevados". En cualquier despliegue empresarial real esto es un listón muy bajo: contratistas, proveedores externos, cuentas de servicio sobredimensionadas, empleados remotos con acceso a portales de colaboración, todos califican. SharePoint es de las plataformas con más identidades activas distribuidas que existen y la cantidad de Site Members en una farm mediana se cuenta por miles.

El 1 de julio de 2026, CISA agregó CVE-2026-45659 al KEV con fecha de remediación federal 4 de julio de 2026, confirmando que existe explotación activa en entornos reales. Microsoft inicialmente clasificó la probabilidad de explotación como "Less Likely", pero los indicadores de telemetría que motivaron la inclusión al KEV revirtieron esa presunción. EPSS de FIRST.org hoy es 0.00503 (bajo), pero el KEV es la señal más dura: alguien lo está explotando ahora.

Las versiones afectadas son las tres líneas on-premises soportadas: SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Enterprise Server 2016. SharePoint Online (Microsoft 365) no está afectada por su modelo de patching gestionado. Microsoft publicó un dato operativo relevante: el CVE se incluyó en los parches de mayo de 2026 pero fue omitido por error del release notes; quienes aplicaron KB de mayo ya están protegidos.

Una vez dentro del worker process de SharePoint (w3wp.exe), un atacante con RCE puede plantar web shells ASPX dentro de bibliotecas de documentos, ejecutar PowerShell, crear tareas programadas y pivotar hacia Active Directory usando el contexto de la cuenta de servicio de la farm. Esto coincide con el patrón histórico de los grupos que van tras SharePoint: ransomware operators como Storm-2603, actores de espionaje, y brokers de acceso inicial.

"Cuando una vulnerabilidad requiere solo autenticación básica, el control que importa no es el firewall de la SharePoint, es la higiene de las cuentas Site Member."

¿Cómo proteger tu infraestructura?

1. Aplicá las KB de mayo de 2026 y validá build por nodo

Las builds que ya contienen el fix son: 16.0.19725.20280 para Subscription Edition (KB5002863), 16.0.10417.20128 para 2019 (KB5002870) y 16.0.5552.1002 para Enterprise 2016 (KB5002868). En cada servidor de la farm, abrí SharePoint Management Shell y corré:

(Get-SPFarm).BuildVersion
Get-SPFarm | Select -ExpandProperty Servers | ForEach-Object {
  $_.Address + " -> " + (Get-SPServer -Identity $_).BuildVersion
}

Si el build coincide con el de remediación, estás cubierto. Si hay nodos desactualizados, no asumas cobertura: en farms con múltiples WFE o nodos de DR warm es común que un grupo esté parchado y otro no.

2. Auditoría forense de actividad previa en SharePoint

CISA, al sumar CVE-2026-45659 al KEV, instruyó a las agencias federales a determinar si el sistema fue comprometido antes del parche. Eso aplica al resto de las organizaciones igual. Revisá los logs ULS de SharePoint, los registros IIS y los eventos de SharePoint en busca de deserialización sospechosa: requests conteniendo payloads ofuscados con TypeObject, __Type o genéricos de BinaryFormatter apuntando a la cuenta de servicio de la farm.

3. Cacería de web shells en bibliotecas de SharePoint

El RCE autenticado permite plantar ASPX en cualquier biblioteca accesible. Buscá archivos .aspx, .ashx, .master con timestamps recientes en SitePages/, _catalogs/, Lists/ y especialmente en _layouts/15/. Compará contra baselines conocidos de tu farm. Cualquier archivo que nadie recuerda haber subido y que tenga tamaño < 5 KB, conteniendo <%@ Page con directivas raras, es candidato a web shell.

4. Reducí la superficie de Site Member y vigilá el worker process

Auditoría de membresías de Site Visitors y Site Members para quitar cuentas stale, contratistas finalizados y buzones compartidos. Activá MFA para todos los accesos a SharePoint on-prem (idealmente vía ADFS + Azure MFA o un IdP externo). En EDR/SIEM, configurá una alerta cuando el proceso w3wp.exe ejecute cmd.exe, powershell.exe o wscript.exe como hijo; en condiciones normales el IIS worker de SharePoint nunca spawnea shells.

Indicadores de compromiso (IoC)

Microsoft no publicó IoCs atómicos (IPs o hashes). Lo que sí se puede cazar son los artefactos operativos que deja una explotación exitosa de CVE-2026-45659 sobre SharePoint Server. Estos son los patrones para tu EDR/SIEM:

  • Web shell ASPX no inventariado: archivo .aspx en SitePages/, Lists/, SiteAssets/ o _layouts/ con timestamp < 30 días y autor distinto a cuentas corporativas conocidas.
  • Proceso hijo anómalo: w3wp.exe ejecutando cmd.exe, powershell.exe, wscript.exe, mshta.exe o rundll32.exe. El IIS worker de SharePoint no lanza shells bajo condiciones legítimas.
  • Tarea programada nueva en el servidor de SharePoint: ejecutable apuntando a %TEMP% o rutas no estándar con persistencia via schtasks.
  • Cuenta Site Member con auth desde IP/ASN inusual: logon reciente con impossível travel, ASN residencial o Tor exit node, principalmente fuera de horario laboral.
  • Acceso a AD luego de actividad sospechosa en SharePoint: la cuenta de servicio de la farm consultando DC para Kerberos tickets contra hosts no-SharePoint.
  • Upload de archivos .dll o .aspx por cuentas con rol Site Member: legítimo solo en escenarios de branding o soluciones administradas, raro en operaciones cotidianas.

Una regla de Splunk o Elastic de prioridad alta para arrancar la cacería, sobre logs de process create de Windows (Sysmon Event 1) en servidores de la farm:

index=windows (EventCode=1) (ParentImage="*\\w3wp.exe" OR ParentImage="*\\SharePoint*") 
(Image="*\\cmd.exe" OR Image="*\\powershell.exe" OR Image="*\\wscript.exe")
| stats count by Computer, User, ParentImage, Image, CommandLine
| where count > 0

🛡️ ¿Tu SharePoint Server es parte de una farm multi-nodo con auditoría pendiente?

En IPSecureNetwork hacemos auditoría de farms de SharePoint on-prem: validación de build por nodo, búsqueda de web shells, revisión de cuentas Site Member y tuning de EDR sobre IIS worker processes. Si tenés SharePoint Server Subscription Edition, 2019 o 2016, te conviene una revisión focalizada antes de que un initial access broker te encuentre primero.

SOLICITAR AUDITORÍA →