Корпорация Microsoft выпустила внеплановый пакет исправлений для своей почтовой платформы Exchange. Обновления закрывают сразу восемь уязвимостей, одна из которых уже была централизованно нейтрализована в облачной версии Exchange Online. Остальные семь затрагивают локальные развёртывания Exchange Server и требуют немедленной установки патчей. Наибольшую опасность представляет брешь с идентификатором CVE-2026-48579, получившая максимальную оценку критичности 9,1 балла по шкале CVSS (Common Vulnerability Scoring System - международный стандарт оценки серьёзности уязвимостей). Однако для пользователей Exchange Online никаких действий не требуется: Microsoft устранила проблему на своей стороне.
Оставшиеся уязвимости охватывают широкий спектр техник атак. Среди них - межсайтовый скриптинг (XSS), внедрение кода (code injection), подделка запросов на стороне сервера (SSRF) и ошибки авторизации. Злоумышленник может использовать эти недочёты для кражи конфиденциальных данных, выдачи себя за другого пользователя, повышения привилегий и даже удалённого выполнения произвольного кода.
Ключевые угрозы для локальных серверов
Наиболее серьёзная из локальных уязвимостей - CVE-2026-45504 с оценкой 8,8 балла. Она основана на технике SSRF (Server-Side Request Forgery - подделка запросов на стороне сервера). При такой атаке злоумышленник, уже имеющий авторизованный доступ к серверу, может заставить его отправлять подложные запросы к другим внутренним системам. Это открывает путь к повышению привилегий и полному контролю над сервером. Ещё две уязвимости того же класса, CVE-2026-45503 и CVE-2026-45502, получили оценки 8,1 и 5,0 балла соответственно. Они также позволяют авторизованному атакующему раскрывать защищённую информацию.
Отдельного внимания заслуживает CVE-2026-45583 с рейтингом 7,5 балла. Она относится к категории внедрения кода (code injection). Злоумышленник может отправить специально сформированный запрос, который заставит сервер выполнить произвольные команды. Несмотря на то, что для эксплуатации требуется взаимодействие с пользователем (например, переход по ссылке), последствия могут быть катастрофическими - от кражи данных до полной компрометации системы.
Ещё четыре уязвимости связаны с межсайтовым скриптингом (XSS). Это атаки, при которых вредоносный код внедряется в веб-страницу и выполняется в браузере жертвы. CVE-2026-47631 (8,1 балла), CVE-2026-45501 (6,5 балла) и CVE-2026-45500 (6,1 балла) позволяют неавторизованному злоумышленнику выдать себя за другого пользователя и получить доступ к его данным. Все три классифицированы как уязвимости подмены (spoofing). Отметим, что в описании CVE-2026-45501 указан тип CWE-918 (SSRF), хотя в реальности проблема связана с межсайтовым скриптингом. Это может быть ошибкой в документации, но суть угрозы остаётся прежней.
Облачная угроза, которая уже не опасна
Самая громкая находка - CVE-2026-48579 (9,1 балла) - затрагивает исключительно Exchange Online. Уязвимость связана с неправильной авторизацией: неавторизованный атакующий мог получить доступ к конфиденциальной информации других пользователей без каких-либо дополнительных условий. Microsoft оперативно закрыла брешь на своей инфраструктуре, поэтому клиентам облачного сервиса не нужно устанавливать обновления. Тем не менее, этот случай напоминает, насколько уязвимыми могут быть даже централизованные системы, если в них допущена ошибка в проверке прав доступа.
Что это значит для бизнеса
Для компаний, использующих локальные версии Microsoft Exchange Server - а это десятки тысяч организаций по всему миру, - промедление с установкой патчей чревато серьёзными последствиями. Злоумышленники активно отслеживают такие бюллетени и в течение нескольких дней после публикации начинают массовые атаки на незащищённые системы. Особенно опасны уязвимости SSRF и внедрения кода: они позволяют атакующему, уже имеющему легитимный доступ (например, через скомпрометированную учётную запись), быстро расширить своё присутствие в сети. Совокупность восьми закрытых дефектов охватывает практически все основные векторы атак на корпоративную почту: от кражи учётных данных до удалённого выполнения команд.
Важно понимать, что даже если уязвимость имеет среднюю оценку (например, 5,0), она всё равно может быть использована в составе цепочки атак. Например, CVE-2026-45502 может стать первым шагом для получения информации о внутренней сети, а затем через SSRF-брешь CVE-2026-45504 злоумышленник повысит привилегии. Поэтому рекомендуется обновлять не только критические, но и все перечисленные компоненты.
Действия для администраторов
Microsoft уже выпустила обновления для всех затронутых версий Exchange Server: 2016 Cumulative Update 23, 2019 Cumulative Update 14 и 15, а также Subscription Edition RTM. Администраторам следует немедленно установить их через Центр обновления Microsoft или портал MSRC. Если немедленная установка невозможна, стоит изучить возможные временные меры защиты, описанные в бюллетене на странице portal.msrc.microsoft.com.
История показывает, что уязвимости в Exchange - одни из самых востребованных у злоумышленников. Только за последние два года через подобные дефекты были скомпрометированы тысячи серверов по всему миру. Текущий набор исправлений закрывает ещё один серьёзный пласт проблем. Компаниям, которые ещё не перешли на Exchange Online, стоит рассмотреть этот выпуск как дополнительный аргумент для миграции в облако, где устранение уязвимостей берёт на себя вендор. Тем не менее, для миллионов организаций, продолжающих работать с локальными серверами, установка патчей остаётся единственным надёжным способом защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-45500
- https://www.cve.org/CVERecord?id=CVE-2026-45501
- https://www.cve.org/CVERecord?id=CVE-2026-45502
- https://www.cve.org/CVERecord?id=CVE-2026-45503
- https://www.cve.org/CVERecord?id=CVE-2026-45504
- https://www.cve.org/CVERecord?id=CVE-2026-45583
- https://www.cve.org/CVERecord?id=CVE-2026-47631
- https://www.cve.org/CVERecord?id=CVE-2026-48579
