В середине мая 2026 года стало известно о критической уязвимости, затронувшей ключевые компоненты облачной экосистемы Microsoft. Речь идёт о продуктах Azure Resource Manager (служба развёртывания и управления ресурсами в облаке Microsoft) и Azure Local (программное решение для локальной гибридной инфраструктуры). По данным Банка данных угроз безопасности информации (BDU), уязвимость получила идентификатор BDU:2026-07349, а в международной системе CVE ей присвоен номер CVE-2026-42822.
Детали уязвимости
Azure Resource Manager - это центральный компонент управления всеми облачными сервисами Microsoft Azure. Через него проходят запросы на создание виртуальных машин, баз данных, сетей и сотен других ресурсов. Azure Local, в свою очередь, используется компаниями для развёртывания облачных служб на собственных серверах, что особенно востребовано в сегментах с жёсткими требованиями к локализации данных или задержкам. Комбинация этих двух продуктов означает, что уязвимость затрагивает как публичное облако, так и гибридные сценарии.
Уязвимость классифицирована как критическая. Базовый вектор CVSS 3.1 составил 10 баллов из 10 возможных. Это максимальная оценка, которая присваивается только в тех случаях, когда атака не требует никаких предварительных условий: злоумышленнику не нужна учётная запись, не нужно находиться в одной сети, не требуется взаимодействие с жертвой. При этом последствия эксплуатации включают полную компрометацию конфиденциальности, целостности и доступности данных.
Согласно описанию в BDU, корень проблемы лежит в недостатках процедуры аутентификации. Ошибка относится к типу CWE-287 (Improper Authentication - неправильная аутентификация). Это означает, что механизм проверки подлинности в одном из компонентов Azure может быть обойдён или введён в заблуждение.
Злоумышленник, действующий удалённо, может отправить специально сформированный запрос и получить привилегии, значительно превышающие его легитимные права. В терминах безопасности это называется повышением привилегий. Например, атакующий, не имеющий вообще никакого доступа к системе, может получить права администратора всей облачной подписки.
Важно отметить, что уязвимость затрагивает разные версии продуктов. Для Azure Local уязвимыми считаются версии до 2604.2.25645 включительно. Для Azure Resource Manager версия не указана, что может означать, что уязвимость присутствует во всех актуальных версиях до выхода исправления.
Из способов эксплуатации в карточке уязвимости указано только "нарушение аутентификации". Однако с учётом максимального балла CVSS и отсутствия необходимости в предварительной авторизации можно предположить, что атакующие могут воспользоваться ошибкой в логике проверки токенов доступа или неправильной обработкой сессионных данных. В облачных средах такие сценарии особенно опасны, поскольку один скомпрометированный токен может открыть доступ к тысячам виртуальных машин и баз данных.
При этом наличие эксплойта пока не подтверждено - данные об этом уточняются. Но практика показывает: если уязвимость имеет CVSS 10, исследователи безопасности и злоумышленники начинают активно разрабатывать рабочие инструменты для атаки в течение нескольких дней после публикации.
Microsoft подтвердила наличие уязвимости и выпустила обновление. Соответствующее уведомление опубликовано на портале MSRC. Для Azure Resource Manager обновление происходит автоматически, поскольку это управляемый сервис Microsoft. Тем не менее, организации должны проверить, что их подписки не отключены от получения критических обновлений. Для Azure Local, который работает на локальном оборудовании, требуется применить исправление вручную. Версия 2604.2.25645 и более новые считаются защищёнными.
Критический уровень опасности подразумевает, что атака может привести к полной остановке работы облачных сервисов, краже конфиденциальных данных или внедрению вредоносного кода в инфраструктуру. Для компаний, использующих Azure для хранения финансовой информации, персональных данных клиентов или интеллектуальной собственности, риски огромны.
Кроме того, Azure Local часто применяется в промышленности, здравоохранении и государственном секторе, где простой критических систем недопустим. Если злоумышленник получит контроль над таким локальным развёртыванием, он сможет не только украсть данные, но и нарушить производственные процессы.
Что необходимо предпринять администраторам информационной безопасности? Во-первых, проверить наличие обновлений для Azure Local в центре администрирования. Во-вторых, пересмотреть политики доступа к облачным ресурсам и включить многофакторную аутентификацию для всех учётных записей, имеющих доступ к управлению Azure. В-третьих, настроить мониторинг событий безопасности: при появлении в логах нестандартных запросов к Azure Resource Manager (например, с неизвестных IP-адресов) это может быть признаком попытки эксплуатации. Наконец, стоит обратить внимание на сегментацию сети: если Azure Local используется в гибридной конфигурации, следует убедиться, что трафик между локальной средой и облаком проходит через строго контролируемые каналы.
Уязвимость CVE-2026-42822 - один из самых опасных дефектов в облачной инфраструктуре Microsoft за последние годы. Её максимальный балл CVSS, удалённый вектор атаки и отсутствие необходимости в аутентификации делают её привлекательной мишенью для злоумышленников. Хотя патч уже выпущен, время на его установку критически важно. Промедление может стоить компании не только финансовых потерь, но и репутационного ущерба. Специалистам по информационной безопасности необходимо немедленно провести аудит используемых версий Azure Resource Manager и Azure Local, а также убедиться, что обновления применяются без задержек.
Ссылки
- https://bdu.fstec.ru/vul/2026-07349
- https://www.cve.org/CVERecord?id=CVE-2026-42822
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42822
