В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в программном обеспечении для мониторинга ИТ-инфраструктуры Microsoft System Center Operations Manager (SCOM). Уязвимости присвоен идентификатор BDU:2026-02874 и общий идентификатор CVE-2026-20967. Проблема связана с недостаточной проверкой вводимых данных и позволяет удаленному злоумышленнику, имеющему начальный доступ к системе, повысить свои привилегии до максимального уровня.
Детали уязвимости
Эксперты оценивают уровень опасности как высокий. Базовый балл по шкале CVSS 3.1 составляет 8.8, что указывает на серьезность угрозы. Уязвимость затрагивает несколько актуальных версий SCOM, включая выпуски 2019, 2022 и 2025. Конкретно, риску подвержены системы, где не установлены обновления до версий 10.19.10658.0, 10.22.11951.0 и 10.25.10377.0 соответственно. SCOM является ключевым инструментом для администраторов, обеспечивающим мониторинг работоспособности серверов, приложений и сетевых устройств. Следовательно, компрометация этой системы открывает злоумышленнику широкие возможности для дальнейших атак во всей управляемой инфраструктуре.
Суть уязвимости классифицируется как CWE-20, то есть недостаточная проверка входных данных. На практике это означает, что атакующий может отправить специально сконструированные запросы к консоли управления SCOM. Поскольку система не проводит их должную валидацию, это приводит к выполнению произвольных команд с повышенными правами. Основной вектор атаки (CVSS 3.1: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) подразумевает, что для эксплуатации достаточно сетевого доступа к целевой системе и наличия учетной записи с низкими привилегиями. При этом не требуется взаимодействие с пользователем.
Угроза является особенно актуальной для компаний, использующих SCOM для централизованного наблюдения за гибридными и облачными средами. Получив контроль над SCOM, злоумышленник может скрыть следы своего присутствия, отключить оповещения о безопасности и получить доступ к конфиденциальным данным, собираемым системой мониторинга. Более того, такая уязвимость может стать идеальной точкой для постоянного присутствия (persistence) в сети организации и развертывания вредоносной полезной нагрузки (payload), например, шифровальщика (ransomware).
К счастью, производитель уже подтвердил проблему и выпустил исправления. Microsoft классифицировала данную уязвимость как важную. Компания рекомендует администраторам немедленно установить предоставленные обновления безопасности. Соответствующие патчи включены в последние накопительные обновления для каждой затронутой версии SCOM. Инструкции и ссылки для загрузки размещены в официальном руководстве по обновлению Microsoft Security Response Center (MSRC).
В настоящее время нет подтвержденных данных об активной эксплуатации уязвимости. Однако, учитывая высокий балл CVSS и ценность системы SCOM как цели, появление публичных эксплойтов в ближайшем будущем весьма вероятно. Следовательно, задержка с установкой исправлений создает значительный риск для безопасности организации. Специалисты также советуют применять принцип минимальных привилегий для учетных записей, имеющих доступ к консоли SCOM, и обеспечивать сегментацию сети, ограничивая доступ к интерфейсам управления только доверенным подсетям.
Таким образом, уязвимость CVE-2026-20967 в Microsoft System Center Operations Manager представляет собой существенную угрозу. Она подчеркивает важность своевременного управления обновлениями даже для вспомогательного, но критически важного инфраструктурного программного обеспечения. Оперативное применение патчей остается наиболее эффективным способом защиты от потенциальных атак, использующих эту брешь в безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-02874
- https://www.cve.org/CVERecord?id=CVE-2026-20967
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20967
