Microsoft выпустила обновления безопасности, закрывающие десять уязвимостей в различных компонентах облачной платформы Azure. Наибольшую опасность представляют две проблемы с оценкой 9,9 по шкале CVSS: они затрагивают сервис подготовки данных Microsoft Entra Provisioning (SyncFabric) и службу Azure OpenAI. Часть уязвимостей, включая эти две, уже устранена централизованно на стороне Microsoft, и от клиентов не требуется дополнительных действий.
Детали уязвимостей
Согласно бюллетеню, опубликованному на портале Microsoft Security Response Center, в число закрытых проблем входят ошибки, связанные с неправильной нейтрализацией специальных элементов при выполнении команд (Command Injection), недостатками контроля доступа и аутентификации, некорректной проверкой сертификатов, отсутствием аутентификации для критических функций, неконтролируемым потреблением ресурсов, десериализацией недоверенных данных, бесконечным циклом, а также серверной подделкой запросов (SSRF). Потенциально злоумышленник мог воспользоваться этими уязвимостями, чтобы вызвать отказ в обслуживании, обойти меры безопасности или получить повышенные привилегии, а значит - несанкционированный доступ к данным, к которым он изначально не был авторизован.
Самый высокий рейтинг опасности присвоен уязвимости CVE-2026-57100, обнаруженной в Microsoft Entra Provisioning Service (SyncFabric). Эта служба отвечает за синхронизацию учётных записей и групп между локальными каталогами и Azure Active Directory. Оценка 9,9 означает, что её эксплуатация может привести к полной компрометации привилегий в сервисе. Аналогичная оценка - у CVE-2026-45499 в сервисе Azure OpenAI, что также позволяет злоумышленнику повысить свои права. Обе эти уязвимости, как уточняет Microsoft, уже исправлены в рамках стандартных процедур платформы; клиентам не нужно устанавливать дополнительные обновления, но информация о них включена в бюллетень для прозрачности.
Следующими по серьёзности стали две уязвимости с CVSS 8,8: CVE-2026-57969 и CVE-2026-58279, затрагивающие Azure CycleCloud - инструмент для управления высокопроизводительными вычислительными кластерами (HPC). Здесь ошибки также ведут к получению повышенных привилегий. Ещё одну проблему с оценкой 8,8 закрыли в Azure Monitor Agent (CVE-2026-47632) - агенте мониторинга, который собирает метрики и логи с виртуальных машин. Компания рекомендует установить обновлённые версии расширений для Linux и Metrics Extension.
Уязвимость CVE-2026-50338 в Azure Spring Apps (платформа как сервис для развёртывания приложений на базе Spring Boot) получила 8,2 балла по CVSS и также позволяет повысить привилегии. Две проблемы в Azure Active Directory (CVE-2026-50652 и CVE-2026-50653) оценены в 7,5 балла каждая; их эксплуатация может привести к отказу в обслуживании. Наименее опасной стала уязвимость в Azure Synapse (CVE-2026-26145) с оценкой 4,8, хотя в другой системе оценки (CVSS v4) ей присвоено 2,3 балла.
Все перечисленные уязвимости затрагивают как корпоративных клиентов Azure, так и пользователей отдельных сервисов, таких как Azure Active Directory и Azure Spring Apps. Хотя две критические проблемы уже не требуют ручного вмешательства, для остальных компонентов - CycleCloud, Azure Monitor Agent, Spring Apps, Active Directory и Synapse - необходимо применить патчи, выпущенные Microsoft. Подробная информация об установке обновлений и временных мерах защиты (при их наличии) публикуется на странице безопасности MSRC.
Тенденция регулярных ежемесячных исправлений в экосистеме Azure сохраняется: облачная платформа остаётся одной из самых атакуемых целей, и производитель последовательно закрывает как критические, так и умеренно опасные уязвимости. Клиентам, использующим перечисленные компоненты, следует обратить внимание на обновления и установить их в кратчайшие сроки, чтобы минимизировать риск компрометации.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26145
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45499
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47632
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50338
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50652
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50653
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-57100
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-57969
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-58279