В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая продукты Microsoft SharePoint. Она получила идентификатор BDU:2026-08225, а также номер CVE-2026-45484. Этот инцидент заслуживает пристального внимания всех специалистов по информационной безопасности, работающих в крупных организациях и государственных учреждениях. Проблема заключается в механизме десериализации данных. Если говорить проще, то злоумышленник может отправить на сервер специально сформированный пакет данных. После его некорректной обработки система рискует попасть под полный контроль нарушителя.
Детали уязвимости
Уязвимость получила высокий уровень опасности. Базовая оценка по шкале CVSS 2.0 составляет 9 баллов из 10. В более современной версии CVSS 3.1 оценка немного ниже, но всё ещё крайне опасна - 8,8 балла. Такие показатели говорят о том, что эксплуатация этой уязвимости не требует сложных условий или доступа к физическому пребыванию рядом с оборудованием. Атакующему нужна лишь учётная запись с минимальными правами и сетевое подключение к целевому серверу. Это делает угрозу реальной для тысяч компаний по всему миру.
Под удар попали сразу три линейки продуктов. В первую очередь это Microsoft SharePoint Server Subscription Edition. Уязвимыми признаны все версии, выпущенные до версии 16.0.19725.20384. Следом идет SharePoint Server 2019, где критическим порогом является версия 16.0.10417.20153. Замыкает список SharePoint Enterprise Server 2016. Для него безопасным считается обновление до версии 16.0.5556.1005. Важно отметить, что речь идёт о серверных продуктах, которые используются для внутреннего документооборота, создания корпоративных порталов и баз знаний. Обычные пользователи, работающие с облачными версиями через веб-интерфейс, напрямую не затронуты, однако их данные могут оказаться под угрозой, если атака будет проведена на уровне сервера.
Тип ошибки классифицируется как CWE-502 (восстановление в памяти недостоверных данных). На практике это означает, что программное обеспечение неправильно обрабатывает информацию, поступающую от пользователя или внешней системы. SharePoint как бы "доверяет" тем данным, которые ему отправляют, но не проверяет их должным образом. В результате злоумышленник может подменить служебные объекты, передаваемые в потоке данных. Полезная нагрузка запускается уже на сервере, в контексте приложения. Это даёт возможность не только украсть документы, но и получить полный контроль над сервером, перемещаться по внутренней сети организации и, в конечном счёте, закрепиться в системе (persistence).
Для чего такая атака может быть опасна? Представьте себе крупный холдинг, где SharePoint используется для хранения кадровых приказов, бухгалтерской отчётности или коммерческой тайны. Получив привилегии администратора, нарушитель сможет просматривать, копировать и удалять любые данные. Более того, он способен модифицировать настройки безопасности, отключить системы мониторинга или создать скрытые учётные записи. В долгосрочной перспективе это грозит не только утечкой информации, но и остановкой бизнес-процессов. Финансовые потери и репутационный ущерб могут быть колоссальными.
Способ эксплуатации уязвимости описан как манипулирование структурами данных. Иными словами, атакующий изменяет формат передаваемого пакета так, чтобы механизм десериализации обработал его особым образом. При этом не требуется маскироваться под другую программу или использовать сложные вредоносные файлы. Достаточно правильно сформировать HTTP-запрос, содержащий вредоносный код. Эта техника хорошо известна специалистам по защите, но её защита требует тщательной настройки правил фильтрации и внедрения систем обнаружения вторжений (IDS).
Хорошая новость заключается в том, что производитель уже выпустил обновления, устраняющие проблему. Корпорация Microsoft подтвердила наличие уязвимости и рекомендует установить патчи для всех трёх версий. Статус уязвимости на данный момент - "Подтверждена производителем", а информация о реально работающих эксплойтах уточняется. Тем не менее, ждать появления готовых инструментов для атаки не стоит. История кибербезопасности показывает, что после публичного раскрытия деталей уязвимости количество попыток её эксплуатации резко возрастает. Злоумышленники начинают обратный инжиниринг патча, чтобы выявить слабое место и написать код атаки.
Что делать системным администраторам и специалистам по информационной безопасности незамедлительно? Прежде всего, необходимо провести инвентаризацию всех серверов, на которых развёрнут Microsoft SharePoint. Далее следует сравнить установленную версию с той, которая указана как безопасная. Если сервер не обновлён, требуется как можно скорее загрузить и применить обновление с официального сайта центра обновлений Microsoft (Microsoft Update). Важно помнить, что для установки патча может потребоваться перезагрузка служб. Её лучше запланировать на время наименьшей нагрузки, чтобы не нарушить работу пользователей. В качестве временных мер защиты можно усилить логирование событий, проверить фильтрацию входящих HTTP-запросов, а также ограничить права учётных записей, от имени которых работает серверное приложение.
Подводя итог, можно сказать, что обнаружение данной уязвимости - серьёзный звонок для многих организаций. Проблема затрагивает не только продукт Microsoft, но и те уязвимости архитектуры (класс ошибок, заложенные в логику работы программы), которые могут долгое время оставаться незамеченными. Каждому специалисту стоит проверить свои системы в самое ближайшее время, поскольку цена промедления может оказаться слишком высокой.
Ссылки
- https://bdu.fstec.ru/vul/2026-08225
- https://www.cve.org/CVERecord?id=CVE-2026-45484
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45484
