21 мая 2026 года корпорация Microsoft подтвердила существование сразу трех критических уязвимостей в своей облачной платформе Azure. Каждая из них получила максимальную оценку по шкале CVSS 3.1, то есть десять баллов. Это означает, что злоумышленник может удаленно использовать эти бреши без каких-либо дополнительных условий. Для специалистов по кибербезопасности подобные события становятся поводом для немедленного пересмотра политик управления обновлениями. Ведь под удар попадают как крупные корпорации, так и небольшие компании, активно использующие облачные сервисы.
Детали уязвимостей
Первая уязвимость, зафиксированная под идентификатором BDU:2026-07696 (CVE-2026-41104), затрагивает службу Microsoft Planetary Computer Pro. Эта облачная служба предназначена для управления геопространственными данными. Ошибка кроется в механизме десериализации - процессе преобразования данных из формата для передачи во внутреннюю структуру программы. Если десериализация происходит с нарушением правил, злоумышленник может подсунуть системе вредоносные данные. В результате атакующий получает возможность раскрыть защищаемую информацию, хранящуюся в памяти или на дисках. При этом для эксплуатации не требуется никакой аутентификации или действий со стороны пользователя. Достаточно отправить специально сформированный запрос удаленно. Производитель уже выпустил исправление, ссылка на которое опубликована в официальном бюллетене безопасности.
Вторая критическая проблема получила обозначение BDU:2026-07697 (CVE-2026-47280) и касается службы Azure Resource Manager. Это ключевой компонент для развертывания и управления ресурсами в облаке Microsoft. Уязвимость связана с обходом аутентификации посредством альтернативного имени. Иными словами, злоумышленник может использовать подмену идентификационных данных, чтобы выдать себя за другого пользователя или даже администратора. Атака ведется удаленно и не требует предварительного доступа к системе. Успешная эксплуатация позволит нарушителю повысить свои привилегии. Например, из обычного пользователя стать полноправным владельцем подписки Azure. Последствия трудно переоценить: злоумышленник сможет создавать, изменять и удалять любые ресурсы, а также получать доступ к конфиденциальным данным. Исправление уже доступно, и Microsoft настоятельно рекомендует установить его как можно скорее.
Третья уязвимость, BDU:2026-07698 (CVE-2026-40412), относится к службе Azure Orbital Spatio. Это решение предназначено для обработки данных со спутников и космических миссий. Тип ошибки - неограниченная загрузка файлов опасного типа. Атакующий может загрузить на сервер вредоносный файл, например скрипт или исполняемый код. Поскольку система не проверяет расширение и содержимое загружаемого файла, она сама запустит этот код. В результате злоумышленник получает возможность выполнить произвольный код удаленно. Это означает полный контроль над затронутой службой. Хотя данные о наличии готового эксплойта пока уточняются, сам факт существования такой бреши несет огромные риски. Особенно учитывая, что Azure Orbital Spatio используется в научных и государственных проектах, где высока цена утечки или саботажа.
Все три уязвимости имеют одинаково высокие оценки: базовый вектор CVSS 3.0 выглядит как AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Расшифруем: атака возможна удалённо, сложность низкая, привилегии не требуются, взаимодействие с пользователем не нужно, влияние на конфиденциальность, целостность и доступность критическое. То есть злоумышленник может атаковать любую незащищённую систему через интернет, даже не зная паролей. А если у него уже есть доступ к сети, то риски возрастают многократно.
Важно отметить, что Microsoft уже выпустила обновления для всех трёх компонентов. Информация об устранении подтверждена производителем. Специалистам по информационной безопасности следует незамедлительно проверить, установлены ли последние патчи на их облачных средах. Организациям, использующим Azure, стоит обратить особое внимание на службы Planetary Computer Pro, Resource Manager и Orbital Spatio. В официальных бюллетенях безопасности указаны прямые ссылки на исправления.
Последствия таких атак могут быть катастрофическими. В случае с Planetary Computer Pro под угрозой оказываются геоданные, которые часто содержат информацию о критической инфраструктуре. Azure Resource Manager - это мозг управления всем облаком, его компрометация ведёт к полной утрате контроля над ресурсами. Azure Orbital Spatio затрагивает космическую отрасль, где ошибка может привести к срыву спутниковых миссий или утечке секретных данных. Однако стоит подчеркнуть: пока нет сообщений о реальной эксплуатации этих уязвимостей. Но отсутствие эксплойта сегодня не гарантирует безопасность завтра.
Рекомендуется провести аудит используемых сервисов Azure и убедиться, что автоматическое обновление включено. Если по каким-то причинам организация не может установить патчи немедленно, следует применять компенсирующие меры. Например, ограничить сетевой доступ к уязвимым службам, усилить логирование и мониторинг подозрительных действий. Особенно важно обратить внимание на аномалии в десериализации данных, попытки обхода аутентификации и несанкционированную загрузку файлов.
Для обычных пользователей Azure, у которых нет доступа к управлению облаком, риски минимальны. Уязвимости затрагивают корпоративные службы, а не персональные учётные записи. Однако если ваша компания использует перечисленные компоненты, стоит связаться с отделом ИТ и уточнить статус обновлений. В любом случае держите свои системы актуальными: это лучшая защита от большинства критических брешей.
Таким образом, Microsoft в очередной раз демонстрирует, что даже зрелые облачные платформы не застрахованы от серьёзных дефектов безопасности. Обнаружение трёх независимых уязвимостей в один день - сигнал для всех администраторов. Необходимо пересмотреть процессы управления патчами и усилить мониторинг угроз. Ведь атакующие не дремлют, и каждая минута промедления может стоить бизнесу данных или репутации.
Ссылки
- https://bdu.fstec.ru/vul/2026-07696
- https://bdu.fstec.ru/vul/2026-07697
- https://bdu.fstec.ru/vul/2026-07698
- https://www.cve.org/CVERecord?id=CVE-2026-41104
- https://www.cve.org/CVERecord?id=CVE-2026-47280
- https://www.cve.org/CVERecord?id=CVE-2026-40412
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41104
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47280
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40412
