В Банке данных угроз безопасности информации была зафиксирована серьезная уязвимость облачной платформы управления партнерскими отношениями Microsoft, получившая идентификаторы BDU:2026-06064 и CVE-2026-24303. Речь идет о продукте Microsoft Partner Center, который представляет собой специализированное облачное решение для поставщиков программного обеспечения и облачных услуг. Данный инструмент используют тысячи компаний по всему миру для администрирования подписок, управления лицензиями и взаимодействия с корпорацией Microsoft. Злоумышленник, обладающий рядовыми правами в этой системе, способен получить практически неограниченный контроль над ее функциями.
Детали уязвимости
Суть проблемы кроется в ошибке разграничения доступа. Специалисты классифицировали ее по стандарту CWE-284 как неправильный контроль доступа. Простыми словами, платформа некорректно проверяет, имеет ли пользователь право выполнять те или иные действия. Это позволяет нарушителю, действующему удаленно, повысить свои привилегии. Иными словами, обычный партнерский аккаунт с ограниченными полномочиями может быть использован для получения прав администратора высокого уровня.
Особую тревогу вызывает оценка критичности данной уязвимости. По старой методике CVSS 2.0 ей присвоен высокий уровень опасности с базовой оценкой 8,5 балла. Однако по актуальной шкале CVSS 3.1 рейтинг достиг критических 9,6 балла из 10 возможных. Это один из самых высоких показателей, который может быть присвоен уязвимости в облачном сервисе.
Вектор атаки, согласно документации, выглядит следующим образом: злоумышленник не нуждается в физическом доступе к оборудованию (AV:N - атака по сети). Ему не требуется преодолевать сложные механизмы защиты сети (AC:L - низкая сложность атаки). При этом для эксплуатации достаточно иметь учетную запись с минимальными привилегиями (PR:L - низкий уровень прав). И главное - взаимодействие с пользователем не требуется (UI:N - без участия пользователя). Это означает, что жертве не нужно открывать вложения, переходить по ссылкам или совершать какие-либо действия. Атака происходит полностью автоматически.
Последствия успешной эксплуатации оцениваются как крайне серьезные. Нарушитель может получить полный доступ к конфиденциальности (C:H - высокая степень компрометации конфиденциальности) и целостности данных (I:H - высокая степень нарушения целостности). Это означает, что злоумышленник способен не только просматривать все сведения о партнерских контрактах, лицензиях и клиентах, но и изменять их. Кроме того, масштаб воздействия расширенный (S:C - смена области воздействия). Уязвимость в одном сегменте облачной инфраструктуры может привести к компрометации всей системы.
Важно отметить, что компания Microsoft уже подтвердила существование данной уязвимости. В официальном бюллетене безопасности, доступном по адресу msrc.microsoft.com, дефект зарегистрирован под идентификатором CVE-2026-24303. На момент публикации данных производитель заявляет, что уязвимость устранена. Следовательно, рекомендуется немедленно установить обновления для Microsoft Partner Center.
Для бизнеса, использующего данную платформу, риски очевидны. Компрометация учетной записи с привилегиями администратора в Microsoft Partner Center может привести к массовой утечке данных клиентов, изменению условий лицензирования или даже к блокировке доступа к облачным ресурсам. Учитывая, что многие поставщики облачных услуг используют Partner Center как единую точку управления, атака может парализовать работу всей организации.
Специалистам по информационной безопасности следует в первую очередь проверить версии используемого программного обеспечения и убедиться, что последние исправления установлены. Рекомендуется также пересмотреть политики доступа для учетных записей с правами в Partner Center. Необходимо минимизировать количество пользователей, обладающих расширенными привилегиями, и внедрить многофакторную аутентификацию. В дополнение к этому стоит усилить мониторинг событий безопасности, чтобы своевременно выявлять подозрительные попытки повышения привилегий.
Данный инцидент в очередной раз напоминает о том, что даже облачные сервисы от ведущих вендоров не застрахованы от критических дефектов. Ошибки разграничения доступа, особенно в системах, управляющих доступом к другим ресурсам, представляют собой одну из самых опасных категорий уязвимостей. Они позволяют злоумышленнику превратить рядового сотрудника в администратора с неограниченными возможностями.
Ссылки
- https://bdu.fstec.ru/vul/2026-06064
- https://www.cve.org/CVERecord?id=CVE-2026-24303
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24303
