В марте 2026 года в Банке данных угроз безопасности информации (BDU) были зарегистрированы три новые критические уязвимости в системе управления базами данных Microsoft SQL Server. Все они получили высокие оценки по шкале CVSS и позволяют удаленному злоумышленнику повысить свои привилегии вплоть до полного контроля над сервером. Эксперты по кибербезопасности настоятельно рекомендуют администраторам как можно скорее установить обновления, выпущенные компанией Microsoft.
Детали уязвимости
Первая уязвимость, идентифицированная как BDU:2026-02829 (CVE-2026-21262), связана с недостатками механизма контроля доступа (CWE-284). По сути, это архитектурная ошибка, которая позволяет аутентифицированному пользователю с низкими привилегиями выйти за рамки своих полномочий. Базовые оценки CVSS 2.0 и 3.1 составляют 9.0 и 8.8 соответственно, что указывает на высокий уровень опасности. Важно отметить, что для этой уязвимости уже существует работающий эксплойт, что значительно повышает риски реальных атак.
Вторая проблема, занесенная под номером BDU:2026-02868 (CVE-2026-26116), является классической уязвимостью к внедрению SQL-кода (SQL Injection, CWE-89). Она возникает из-за недостаточной защиты структуры SQL-запроса. Атака такого типа может позволить злоумышленнику выполнить произвольные команды в базе данных. Данная уязвимость затрагивает только последние версии SQL Server 2025, но также оценивается как критическая с теми же высокими баллами CVSS.
Третья уязвимость, BDU:2026-02869 (CVE-2026-26115), вызвана неправильной проверкой типа входных данных (CWE-1287). Эта ошибка в коде может быть использована для манипулирования системными ресурсами и, как и предыдущие, приводит к эскалации привилегий. Она представляет угрозу для широкого спектра версий SQL Server, начиная с 2016 года.
Все три уязвимости требуют от атакующего наличия первоначальных прав на вход в систему (authenticated user). Однако, учитывая высокие оценки CVSS, успешная эксплуатация любой из них приводит к полной компрометации конфиденциальности, целостности и доступности данных. Злоумышленник может читать, изменять и удалять информацию, а также потенциально использовать сервер как плацдарм для дальнейшего продвижения по корпоративной сети.
Затронутыми оказались многие поддерживаемые версии Microsoft SQL Server, включая выпуски 2016, 2017, 2019, 2022 и 2025 годов. Речь идет как о стандартных накопительных обновлениях (CU), так и об обновлениях только для системы безопасности (GDR). Производитель уже выпустил исправления, и статус уязвимостей в BDU отмечен как "устраненный". Следовательно, основной и самой эффективной мерой защиты является установка последних патчей от Microsoft.
В рекомендациях BDU, однако, содержится важная оговорка, связанная с геополитической обстановкой. Отмечается, что в связи с санкциями установку обновлений из иностранных источников необходимо проводить после тщательной оценки всех сопутствующих рисков. Параллельно ведомство предлагает ряд компенсирующих мер для организаций, которые не могут немедленно обновить серверы.
К таким мерам относятся строгое ограничение удаленного доступа к SQL-серверам с помощью межсетевых экранов, использование VPN для административных подключений и минимизация привилегий учетных записей пользователей. Кроме того, рекомендуется задействовать SIEM-системы для мониторинга подозрительной активности и придерживаться политики "белых списков" для доступа к критическим ресурсам. Регулярный аудит и отключение неиспользуемых учетных записей также помогут снизить поверхность для потенциальной атаки.
Обнаружение сразу трех критических уязвимостей в одной из самых распространенных СУБД в мире является серьезным сигналом для ИТ-сообщества. Атаки на базы данных часто преследуют цели хищения конфиденциальной информации, шифрования данных с целью выкупа (ransomware) или скрытого сохранения присутствия в системе (persistence). Поэтому оперативное применение исправлений остается краеугольным камнем стратегии безопасности. Администраторам следует незамедлительно обратиться к официальному руководству по обновлению от Microsoft.
Ссылки
- https://bdu.fstec.ru/vul/2026-02829
- https://bdu.fstec.ru/vul/2026-02868
- https://bdu.fstec.ru/vul/2026-02869
- https://www.cve.org/CVERecord?id=CVE-2026-21262
- https://www.cve.org/CVERecord?id=CVE-2026-26116
- https://www.cve.org/CVERecord?id=CVE-2026-26115
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21262
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26116
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26115
