CISA предупреждает об активной эксплуатации трех уязвимостей Microsoft SharePoint Server

Cybersecurity and Infrastructure Security Agency, CISA

Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило об активном использовании злоумышленниками трех уязвимостей в локальных версиях Microsoft SharePoint Server. Речь идет о проблемах, зарегистрированных как CVE-2026-32201, CVE-2026-45659 и CVE-2026-56164. Все они затрагивают поддерживаемые редакции SharePoint Server: Subscription Edition, 2019 и 2016. По данным CISA, эксплуатация этих уязвимостей позволяет атакующим получить несанкционированный доступ к серверам, выполнить удаленный код и реализовать пост-эксплуатационные сценарии, включая кражу машинных ключей Internet Information Services (IIS) и использование методов десериализации для закрепления в системе и развертывания вредоносного ПО.

Детали уязвимостей

Первая из активно эксплуатируемых уязвимостей, CVE-2026-32201, связана с некорректной проверкой входных данных и позволяет обмануть систему, выдавая себя за легитимного пользователя (спуфинг). Ей присвоен средний уровень опасности (6,5 балла по CVSS), однако злоумышленники уже научились использовать её в цепочке атак. Вторая, CVE-2026-45659, представляет собой критическую уязвимость (8,8 балла) из-за десериализации недоверенных данных; для её эксплуатации требуется авторизация, но после получения доступа атакующий может выполнить произвольный код. Третья - CVE-2026-56164 - относится к проблемам отсутствия аутентификации для критических функций и классифицируется как средняя (5,3 балла). В совокупности эти уязвимости дают возможность не только проникнуть в систему, но и закрепиться в ней, а затем украсть ключи IIS, необходимые для дальнейшего бокового перемещения и подписания вредоносных полезных нагрузок.

CISA добавила указанные уязвимости в свой каталог Known Exploited Vulnerabilities (KEV) - CVE-2026-32201 была включена 14 апреля 2026 года, CVE-2026-45659 - 1 июля, а CVE-2026-56164 - 14 июля 2026 года.

Помимо трех уже эксплуатируемых проблем, Microsoft и CISA раскрыли еще две уязвимости, которые пока не замечены в атаках, но представляют серьезный риск в случае отказа от установки обновлений. Речь идет о CVE-2026-55040 (критический уровень, 9,1 балла) - обход функции безопасности из-за слабой аутентификации, и CVE-2026-58644 (критический уровень, 9,8 балла) - удаленное выполнение кода через десериализацию недоверенных данных. Обе затрагивают те же версии SharePoint Server (Subscription Edition, 2019, 2016) и при отсутствии патчей могут быть использованы для полного захвата сервера.

Агентство подчеркивает, что организации должны в первую очередь установить последние исправления безопасности от Microsoft и убедиться в корректном завершении установки. Сокращение циклов установки обновлений, где это возможно, снижает окно уязвимости. Кроме того, CISA рекомендует проверить, что интеграция интерфейса сканирования антивирусного ПО (Antimalware Scan Interface, AMSI) включена для каждого веб-приложения SharePoint. В случае подозрения на компрометацию следует использовать детекции AMSI и Microsoft Defender Antivirus (MDAV), перечисленные в официальном бюллетене. Среди них - оповещения о подозрительных запросах (Exploit:Script/SuspSignoutReqBody.A для Subscription Edition), попытках обхода аутентификации (Exploit:Script/ToolPaneAuthBypass.B) и пост-эксплуатационной активности (Backdoor:MSIL/LeakFang.A!dha).

Дополнительные меры защиты включают ротацию машинных ключей IIS, но только после охоты на угрозы и удаления всех артефактов, которые могли бы позволить повторную кражу ключей. CISA советует организовать расширенное логирование для выявления аномальных запросов, подозрительной активности рабочих процессов SharePoint, веб-шеллов и несанкционированного доступа к ключам. По возможности не следует размещать серверы SharePoint напрямую в интернете; если это необходимо, их нужно размещать за обратным прокси-сервером седьмого уровня (Layer 7), который требует аутентификации и может инспектировать запросы. Также рекомендуется заблокировать внешний доступ к консоли центра администрирования SharePoint и ограничить трафик между фермой и базами данных разрешенными системами.

Ситуация вокруг SharePoint Server демонстрирует устойчивый интерес злоумышленников к платформам для совместной работы, особенно к локальным версиям, которые часто остаются без своевременных обновлений. Включение трех уязвимостей в KEV-каталог означает, что атаки на них подтверждены и носят целенаправленный характер. Организациям, использующим SharePoint Server, следует не только оперативно применить патчи, но и провести ревизию текущих конфигураций безопасности, а также внедрить рекомендации CISA по усилению защиты. Игнорирование этих мер может привести к компрометации корпоративной инфраструктуры, утечке конфиденциальных данных и длительному закреплению злоумышленников в сети.

Ссылки

Комментарии: 0