В Банке данных угроз безопасности информации (BDU) зарегистрирована новая опасная уязвимость, получившая идентификаторы BDU:2026-06759 и CVE-2026-42898. Она затрагивает популярную корпоративную платформу Microsoft Dynamics 365, развернутую на собственной инфраструктуре компаний. Этот случай вновь напоминает специалистам по информационной безопасности о том, как важно своевременно обновлять даже крупные и, казалось бы, надёжные системы.
Детали уязвимости
Уязвимость относится к категории CWE-94, то есть связана с неверным управлением генерацией кода. Простыми словами, злоумышленник может заставить сервер выполнить вредоносные инструкции, которые ему удалось внедрить в легитимные запросы. Для эксплуатации такого рода проблем обычно не требуется сложных инструментов - достаточно иметь авторизованный доступ к системе и отправить специально сформированный запрос.
Согласно опубликованным данным, уязвимости подвержены версии Microsoft Dynamics 365 (on-premises) - то есть версии, установленные на серверах самой организации, а не в облачной инфраструктуре Microsoft. Диапазон уязвимых версий ограничен: с версии 9.1 и до версии 9.1.44.15 включительно. Важно отметить, что уязвимость подтверждена самим производителем, и это повышает доверие к информации, а также обязывает компании-пользователи принять меры.
Особую тревогу вызывает оценка опасности по шкале CVSS. По стандарту версии 3.1 базовая оценка составляет 9,9 балла из 10 возможных. Это критический уровень. Даже по устаревшей, но всё ещё используемой версии CVSS 2.0 оценка достигает 9 баллов, что соответствует высокому уровню опасности. На практике такие цифры означают, что уязвимость можно эксплуатировать удалённо, без необходимости физического доступа к оборудованию. При этом для атаки требуется лишь учётная запись с самыми минимальными правами. Если атака удастся, злоумышленник сможет не только выполнить произвольный код, но и полностью скомпрометировать систему, получить доступ ко всем данным и изменить конфигурацию.
Почему же такая уязвимость так опасна для бизнеса? Microsoft Dynamics 365 - это не просто CRM-система. Это полноценная платформа для планирования ресурсов предприятия (ERP). На ней часто хранятся критически важные сведения: финансовые отчёты, персональные данные клиентов, производственные планы, логистические маршруты. Взлом такой системы может парализовать работу целой компании на дни и даже недели. Кроме того, поскольку платформа развёрнута локально, на инфраструктуре самой организации, атака может стать первым шагом для дальнейшего проникновения в корпоративную сеть.
Немаловажно и то, что тип ошибки указан как "инъекция". Это означает, что код внедряется через специально составленные входные данные - например, через поля ввода в веб-интерфейсе или через API-запросы. Подобные проблемы классифицируются как уязвимости кода, то есть они заложены на этапе разработки и связаны с недостаточной проверкой пользовательского ввода.
Хорошая новость состоит в том, что уязвимость уже устранена производителем. Microsoft выпустила соответствующее обновление в рамках регулярного цикла поддержки. Ссылка на страницу с рекомендациями доступна в официальном бюллетене. Специалистам по безопасности и ИТ-администраторам настоятельно рекомендуется проверить версию установленного продукта и, если она попадает в уязвимый диапазон, немедленно установить патч. Откладывать обновление в данном случае крайне рискованно: при критическом уровне 9,9 балла можно ожидать, что эксплойт - целенаправленная вредоносная программа, эксплуатирующая уязвимость, - появится в открытом доступе в ближайшее время.
Каковы же последствия, если вовремя не установить обновление? Прежде всего, злоумышленник, внедрив вредоносный код, может получить полный контроль над сервером. Это значит, что он сможет запускать свои программы, читать, изменять и удалять любые данные, а также использовать сервер как площадку для дальнейших атак - например, для распространения вредоносного ПО, сбора данных из других систем или включения в сеть устройств для проведения DDoS-атак. Для организаций, использующих Dynamics 365 в качестве ядра учётных систем, это может обернуться не только прямым финансовым ущербом, но и репутационными потерями, а также штрафами от регулирующих органов за утечку персональных данных.
В данной ситуации стандартные меры защиты, такие как сегментация сети или межсетевые экраны, скорее всего, не помогут, поскольку уязвимость находится внутри самого приложения и эксплуатируется через легитимные каналы связи. Единственным надёжным способом устранения угрозы остаётся установка обновления, выпущенного вендором.
Таким образом, инцидент с CVE-2026-42898 - это очередной сигнал для всех, кто обслуживает корпоративные системы. Даже если продукт кажется стабильным и хорошо защищённым, нельзя пренебрегать установкой патчей. В современном мире, когда каждая утечка данных может стоить миллионы рублей, а время реакции злоумышленников измеряется часами, оперативное обновление становится не рекомендацией, а обязательным условием безопасности. Специалистам по кибербезопасности стоит проверить не только сам Dynamics 365, но и сопутствующие сервисы, которые могут быть затронуты косвенно. Промедление в этом вопросе может стоить организации работоспособности критических бизнес-процессов.
Ссылки
- https://bdu.fstec.ru/vul/2026-06759
- https://www.cve.org/CVERecord?id=CVE-2026-42898
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42898
