Корпорация Microsoft выпустила внеплановые обновления безопасности для целого ряда продуктов семейства Dynamics. Вскрытые уязвимости затрагивают как облачные, так и локальные версии платформы для управления бизнес-процессами. Специалисты по информационной безопасности обращают внимание на две критические проблемы, которые позволяют удалённо исполнять код без необходимости в дополнительных манипуляциях.
О чём речь
Согласно уведомлению центра реагирования Microsoft, исправлены пять уязвимостей. Самая опасная из них - CVE-2026-42898 - получила оценку в 9,9 балла по шкале CVSS (Common Vulnerability Scoring System, международная система оценки критичности уязвимостей). Она обнаружена в локальной версии Microsoft Dynamics 365 (on-premises) версии 9.1. Вторая по степени серьёзности - CVE-2026-42833 с оценкой 9,1 балла - также относится к той же экосистеме. Обе проблемы позволяют злоумышленнику, имеющему учётную запись в системе, выполнить произвольный код на сервере.
Почему это важно
Платформа Dynamics 365 используется в крупных и средних компаниях для управления взаимоотношениями с клиентами, финансового учёта и логистики. Компрометация такой системы может привести не только к потере конфиденциальных данных, но и к полной остановке бизнес-процессов. Особенно опасны уязвимости класса "выполнение кода": атакующий может установить вредоносное программное обеспечение, создать новые учётные записи администратора или выгрузить базы данных клиентов.
Детали по продуктам
Microsoft разделила уязвимости по компонентам:
- Dynamics Business Central. В этом продукте обнаружена проблема CVE-2026-40417 с рейтингом 7,8 балла. Она ведёт к повышению привилегий. Проще говоря, обычный пользователь может получить права администратора и управлять всей ERP-системой.
- Power Automate (модуль автоматизации рабочих процессов). Уязвимость CVE-2026-40374 (6,5 балла) даёт доступ к конфиденциальным данным. Например, к логинам и паролям, которые используются в автоматизированных сценариях.
- Dynamics 365 Customer Insights (система аналитики клиентов). Там зафиксирована CVE-2026-33821 (5,3 балла по CVSS v4). Она тоже даёт возможность повысить свои полномочия, но, по заявлению Microsoft, уже централизованно исправлена на стороне облачной инфраструктуры. Дополнительных действий от пользователей не требуется.
Как эксплуатируется
Важно понимать: все уязвимости требуют предварительной аутентификации. То есть злоумышленник уже должен иметь учётную запись в системе - хотя бы самую низкую. Это не делает угрозу менее серьёзной, ведь часто внутренние инциденты (например, от бывших сотрудников или скомпрометированных партнёров) наносят не меньший ущерб, чем внешние атаки. Технически уязвимости связаны с некорректным управлением привилегиями, слабой аутентификацией и возможностью внедрения кода через специально сформированные запросы.
Последствия для бизнеса
Учитывая рейтинг CVE-2026-42898 (9,9), можно предположить, что эксплуатация этой бреши приведёт к полной компрометации сервера Dynamics. Атакующий сможет запускать любые команды, читать файлы и перехватывать трафик. Для локальной инсталляции (on-premises) это особенно критично - такие системы часто хранят данные о тысячах клиентов, финансовые проводки и кадровые сведения. Выход из строя Dynamics на несколько часов может парализовать работу отдела продаж, склада и бухгалтерии.
Что делать
Microsoft уже выпустила обновления для всех затронутых продуктов. Администраторам рекомендуется незамедлительно установить патчи. Подробные инструкции и ссылки на загрузку размещены на портале центра безопасности Microsoft (portal.msrc.microsoft.com). Для облачных версий Dynamics 365 часть исправлений уже применена автоматически, но всё же стоит проверить наличие обновления в панели администрирования.
Дополнительные меры: ограничьте количество пользователей с правами администратора, включите многофакторную аутентификацию и регулярно проверяйте журналы доступа. Использование IDS (системы обнаружения вторжений) и SIEM (класс программных продуктов для управления событиями ИБ и корреляции данных) поможет выявить подозрительную активность на ранних этапах.
Контекст
Нынешнее обновление - не единичный случай. В последний год Microsoft активно закрывает дыры в продуктах линейки Dynamics. Ранее уже были исправлены уязвимости в Dynamics 365 Finance и Supply Chain Management. Эксперты связывают это с ростом интереса злоумышленников к корпоративным ERP-системам: они становятся привлекательной целью для программ-вымогателей (программ, шифрующих данные и требующих выкуп) и для промышленного шпионажа.
Таким образом, если ваша компания использует любую версию Microsoft Dynamics - от Business Central до Customer Insights - не откладывайте установку исправлений. Пять описанных уязвимостей уже имеют готовые патчи, и единственная защита от возможной атаки - своевременное обновление. Игнорирование этих рекомендаций может обернуться серьёзными финансовыми потерями и утечкой данных, которую потом будет сложно устранить.
Ссылки
