Microsoft выпустила внеплановое обновление безопасности для Dynamics NAV 2018 и Dynamics 365 Business Central (On-Premises). Уязвимость десериализации недоверенных данных, получившая идентификатор CVE-2026-55944, оценивается в 9,8 балла по шкале CVSS v3.1 - это максимальный уровень критичности для данной версии стандарта. Патч вышел 14 июля 2026 года, вскоре после того, как разработчикам стало известно о потенциальной возможности эксплуатации.
Уязвимость CVE-2026-55944
Уязвимость затрагивает механизм обработки входящих запросов при аутентификации. Атакующий может отправить на уязвимый сервер специально сформированный запрос на вход (login request) без какого-либо предварительного доступа к системе. Для использования CVE-2026-55944 не требуется ни учётных данных, ни взаимодействия с пользователем, ни особых привилегий. Единственное условие - доступность уязвимого сервера по сети, особенно через интернет.
В результате успешной атаки злоумышленник может выполнить произвольный код на целевом сервере. Это означает полный компрометацию системы: потенциальная атака может привести к краже данных, изменению бизнес-логики, отказу в обслуживании и дальнейшему боковому перемещению внутри корпоративной сети. Учитывая, что Dynamics NAV и Business Central часто применяются для управления финансами, складскими запасами и закупками, последствия для бизнеса могут оказаться катастрофическими.
Microsoft прямо указывает: поскольку Dynamics имеет множество публично доступных интерфейсов (например, веб-клиенты, API), уязвимость крайне привлекательна для атакующих. Анализ вероятности эксплуатации компания оценивает как "выше среднего", хотя на момент выпуска обновления Microsoft не зафиксировала активного применения CVE-2026-55944 в реальных атаках. Отсутствует и публичный код, эксплуатирующий уязвимость (эксплойт), а также документация в виде Proof-of-Concept.
Слабым местом является десериализация недоверенных данных - тип уязвимости CWE-502, который позволяет злоумышленнику внедрить произвольные объекты в поток десериализации, если приложение не проверяет корректность входных данных. В случае с Dynamics сервер не выполняет достаточную валидацию данных, передаваемых в запросе на вход, что открывает путь к выполнению кода.
Корпоративные клиенты, использующие Dynamics NAV 2018, должны незамедлительно установить обновление, доступное через портал Microsoft Security Response Center. Версия сборки после установки патча - 11.0.50704.0. Для Dynamics 365 Business Central (On-Premises) исправление включается через соответствующие каналы обновления. Рекомендуется также проверить, не выставлены ли серверы Dynamics напрямую в интернет без дополнительной защиты. В качестве временной меры защиты до установки патча имеет смысл ограничить сетевой доступ к интерфейсам аутентификации Dynamics - например, с помощью межсетевого экрана или прокси-сервера, разрешающего трафик только с доверенных IP-адресов. Однако отметим, что это лишь снижает поверхность атаки, но не устраняет саму уязвимость.
Ситуация напоминает недавние случаи с аналогичными проблемами в ERP-системах, где ошибки десериализации приводили к громким инцидентам безопасности. Для пользователей Dynamics 365 Business Central в облачной версии (SaaS) обновление должно быть установлено автоматически - инцидент затрагивает только локальные развёртывания (On-Premises). Тем не менее облачные клиенты могут проверить, не затронуты ли их частные облачные среды.
Учитывая высокую оценку CVSS и отсутствие необходимости в аутентификации, CVE-2026-55944 следует считать одной из самых опасных уязвимостей в продуктах Microsoft за последние месяцы. Организациям, использующим Dynamics NAV или Business Central локально, настоятельно рекомендуется не откладывать установку исправления. Даже при отсутствии признаков активной эксплуатации отсрочка с патчем может сделать систему лёгкой мишенью для массового сканирования и автоматизированных атак, которые, вероятно, начнутся уже в ближайшие дни.
Ссылки