CISA предупредила об активной эксплуатации критической уязвимости в Microsoft SharePoint

Cybersecurity and Infrastructure Security Agency, CISA

Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило в свой каталог известных эксплуатируемых уязвимостей (KEV) новую запись - CVE-2026-45659. Речь идёт об уязвимости в Microsoft SharePoint, которая уже используется злоумышленниками в реальных атаках. Производитель выпустил патчи, закрывающие брешь, однако организации, не установившие их, остаются под угрозой.

Уязвимость CVE-2026-45659

Уязвимость CVE-2026-45659 имеет высокий уровень опасности - 8,8 балла по шкале CVSS 3.1. Она относится к классу CWE-502 (десериализация недоверенных данных). В описании Microsoft указано, что проблема затрагивает процедуру десериализации в Office SharePoint: авторизованный злоумышленник может отправить специально сформированный запрос и добиться выполнения произвольного кода на сервере. При этом для атаки не требуется взаимодействия с пользователем, а сложность реализации оценивается как низкая.

Уязвимость присутствует в трёх линейках продукта: Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Server 2019 и Microsoft SharePoint Server Subscription Edition. Все они работают на платформе x64. Уязвимыми считаются версии до 16.0.5552.1002 для 2016-го выпуска, до 16.0.10417.20128 для 2019-го и до 16.0.19725.20280 для Subscription Edition. Исправления включены в соответствующие обновления, выпущенные Microsoft ещё в мае 2026 года. Однако, несмотря на наличие патча, CISA получила данные о том, что атакующие активно используют эту брешь. Именно поэтому агентство внесло CVE-2026-45659 в свой каталог KEV, что является сигналом для всех государственных и частных организаций - требуется незамедлительно применить обновления.

Характер эксплуатации не раскрывается: ни Microsoft, ни CISA не публиковали детали о том, как именно злоумышленники используют уязвимость. Однако судя по вектору атаки - сетевой доступ, низкая сложность, привилегии авторизованного пользователя, - речь идёт о сценарии, при котором внутренний нарушитель или сотрудник, чьи учётные данные были скомпрометированы, может получить полный контроль над сервером SharePoint. Десериализация недоверенных данных - известная техника: при обработке вредоносного сериализованного объекта сервер непреднамеренно инициирует код, заложенный злоумышленником. В случае Microsoft SharePoint атака не требует от жертвы каких-либо действий (UI:N), а значит может быть автоматизирована.

Попадание уязвимости в KEV означает, что CISA считает её реально используемой киберпреступниками или государственными хакерами. Федеральные гражданские агентства США обязаны установить патчи в течение установленного срока - обычно три недели. Для остальных организаций рекомендация носит настоятельный характер: если сервер SharePoint доступен из корпоративной сети, откладывать исправление рискованно.

Меры защиты, помимо установки обновлений, включают ограничение доступа к интерфейсам управления SharePoint, многофакторную аутентификацию для всех пользователей с правом на публикацию и администрирование, а также регулярную проверку журналов на предмет подозрительных запросов, связанных с десериализацией. Microsoft, как обычно, выпустила патчи в рамках планового цикла обновлений, и все строки с актуальными версиями приведены в бюллетене безопасности.

Ситуация с CVE-2026-45659 ещё раз подтверждает тенденцию: уязвимости в корпоративных платформах совместной работы становятся приоритетной целью злоумышленников. SharePoint, будучи популярным решением для документооборота и внутренних порталов, привлекает внимание атакующих, стремящихся закрепиться в инфраструктуре организации или похитить конфиденциальные данные. Промедление с установкой патчей при наличии подтверждённой активной эксплуатации превращает потенциальную угрозу в реальный инцидент с серьёзными последствиями.

Ссылки

Комментарии: 0