Корпорация Microsoft выпустила внеочередной пакет исправлений для всех поддерживаемых версий SQL Server. Причиной стало обнаружение опасной уязвимости, которой присвоен идентификатор CVE-2026-40370. Речь идёт о проблеме категории "внешний контроль имени файла или пути" (External Control of File Name or Path). Этот тип дефектов давно известен специалистам по защите информации, однако его реализация в системе управления базами данных заслуживает особого внимания.
Оценка по шкале CVSS (стандарт для расчёта критичности уязвимостей по десятибалльной шкале) составила 8,8 балла из десяти возможных. Такой показатель автоматически переводит проблему в разряд критических. Хотя для её эксплуатации злоумышленнику требуется пройти аутентификацию в системе, вектор атаки является сетевым. Иными словами, атакующему не нужен физический доступ к серверу - он может действовать удалённо.
В чём суть проблемы
Уязвимость CVE-2026-40370 позволяет авторизованному злоумышленнику получить контроль над именем файла или пути, с которым работает SQL Server. В обычной ситуации система управления базами данных обрабатывает запросы к файлам, используя строго определённые правила проверки. Однако из-за дефекта в механизме обработки этих путей нарушитель может подменить место назначения для записи или чтения данных.
В итоге аутентифицированный киберпреступник способен выполнить произвольный код от имени учётной записи самого SQL Server. Это означает, что вредоносная программа получит те же права, что и база данных. А они, как правило, весьма обширны. В худшем случае атакующий может полностью скомпрометировать сервер, украсть конфиденциальную информацию, модифицировать записи или вовсе уничтожить критически важные данные.
Важно подчеркнуть, что угроза затрагивает не одну, а целую линейку продуктов. Под ударом оказались все актуальные сборки SQL Server, начиная с версии 2016 и заканчивая новейшей SQL Server 2025. Список затронутых сборок включает как пакеты обновлений GDR (General Distribution Release), так и кумулятивные обновления CU (Cumulative Update). При этом под уязвимые версии подпадают оба типа поставки: и те, что предназначены для стандартной установки, и специальная сборка Azure Connect Feature Pack для интеграции с облачной платформой Microsoft.
Потенциальные последствия
Специалисты Национального центра кибербезопасности Нидерландов оценили эту угрозу в 6,1 балла по собственной методологии. Хотя оценка Microsoft по шкале CVSS оказалась выше, голландские эксперты считают, что эксплуатация уязвимости не является тривиальной. Дело в том, что злоумышленнику необходимо иметь действующие учётные данные в целевой системе. Это ограничивает круг возможных атак - внешний нарушитель, не прошедший аутентификацию, не сможет напрямую использовать этот дефект.
Однако не стоит успокаиваться. Практика показывает, что авторизованные пользователи могут быть как внутренними нарушителями, так и внешними киберпреступниками, которые сумели скомпрометировать одну учётную запись. В корпоративных сетях часто встречаются аккаунты с избыточными привилегиями, слабыми паролями или вовсе без многофакторной защиты. Получив доступ к такой учётной записи, злоумышленник может использовать CVE-2026-40370 для эскалации привилегий в системе.
На данный момент, по данным Microsoft, подтверждённых случаев эксплуатации уязвимости в реальных атаках не зафиксировано. Более того, публичных доказательств того, что кто-то уже нашёл способ обойти защиту, тоже нет. Аналитики компании оценивают вероятность активного использования как низкую. Тем не менее это не повод игнорировать исправление. История информационной безопасности знает немало примеров, когда критический баг сначала считался "мёртвым", а затем активно применялся в целевых атаках.
Какие версии под угрозой
Уязвимость затрагивает все перечисленные ниже версии SQL Server для x64-архитектуры:
- SQL Server 2016 Service Pack 3 (GDR) до версии 13.0.6490.1;
- SQL Server 2016 Service Pack 3 Azure Connect Feature Pack до версии 13.0.7085.1;
- SQL Server 2017 (CU 31) до версии 14.0.3530.2;
- SQL Server 2017 (GDR) до версии 14.0.2110.2;
- SQL Server 2019 (CU 32) до версии 15.0.4470.1;
- SQL Server 2019 (GDR) до версии 15.0.2170.1;
- SQL Server 2022 (GDR) до версии 16.0.1180.1;
- SQL Server 2022 (CU 24) до версии 16.0.4252.3;
- SQL Server 2025 (CU 4) до версии 17.0.4040.1;
- SQL Server 2025 (GDR) до версии 17.0.1115.1.
Обратите внимание, что более ранние версии продукта, которые уже не поддерживаются Microsoft, также могут быть уязвимы, но официальных исправлений для них не предусмотрено. Администраторам таких систем стоит рассмотреть обновление до более свежих релизов.
Что делать специалистам
Microsoft уже опубликовала соответствующие обновления в центре безопасности по адресу portal.msrc.microsoft.com. Стандартная процедура установки патча не требует специальной последовательности действий - достаточно применить последнее кумулятивное обновление или пакет GDR для вашей версии SQL Server. Однако перед установкой настоятельно рекомендуется сделать резервную копию всех критичных баз данных и протестировать патч в изолированной среде.
В тех случаях, когда немедленная установка обновления невозможна (например, из-за строгих регламентов согласования изменений), специалистам стоит как минимум ограничить круг лиц, имеющих доступ к SQL Server, а также усилить контроль за авторизованными сессиями. Важно понимать, что временные меры не заменяют полноценного исправления, а лишь снижают вероятность атаки.
Кроме того, полезно провести аудит существующих учётных записей на сервере баз данных. Удалите аккаунты, которые не используются длительное время, и проверьте, не обладают ли пользователи избыточными привилегиями. Принцип минимальных прав доступа остаётся одним из самых эффективных способов защиты от подобных угроз.
Эта история в очередной раз напоминает о том, что даже зрелые и широко распространённые программные продукты содержат уязвимости. Регулярное обновление инфраструктуры - не прихоть, а необходимость. Игнорирование патчей безопасности может обернуться не только утечкой данных, но и остановкой бизнес-процессов, что в современных реалиях грозит многомиллионными убытками.
Ссылки
- https://portal.msrc.microsoft.com/en-us/security-guidance
- https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2026-40370
- https://api.msrc.microsoft.com/cvrf/v3.0/cvrf/2026-May
- https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2026/40xxx/CVE-2026-40370.json
