В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в интеллектуальном помощнике Microsoft 365 Copilot. Идентифицированная под номером BDU:2026-03516 и общеизвестным идентификатором CVE-2026-26137, эта проблема затрагивает функцию Business Chat и оценивается экспертами как представляющая высокий риск. Уязвимость связана с недостаточной проверкой запросов на стороне сервера, что технически классифицируется как "серверная фальсификация запросов" (CWE-918). Проще говоря, это означает, что злоумышленник может отправить специально сформированный запрос, который система обработает некорректно.
Детали уязвимости
Основная опасность заключается в потенциальном повышении привилегий. Другими словами, атакующий, действующий удаленно и уже имеющий ограниченный доступ к системе, может использовать эту брешь для получения более широких прав. Следовательно, он потенциально может читать, изменять или удалять конфиденциальную информацию, доступ к которой должен быть запрещен. Учитывая интеграцию Copilot в ключевые бизнес-приложения Microsoft 365, такие как Word, Excel и Teams, масштаб потенциального ущерба весьма значителен. Затронутыми могут оказаться корпоративные документы, финансовые данные и внутренняя переписка.
Уровень опасности подтверждается высокими баллами по шкале CVSS. Базовая оценка версии CVSS 3.1 составляет 8.9 балла из 10, что классифицирует уязвимость как критическую. Вектор атаки оценивается как сетевой (AV:N), что не требует физического доступа к устройству жертвы. Кроме того, для эксплуатации необходимы низкие привилегии (PR:L) и некоторое взаимодействие с пользователем (UI:R), однако последнее может быть инициировано через фишинговое сообщение в том же Business Chat. Важно отметить, что последствия успешной атаки оцениваются как высокие для конфиденциальности (C:H) и целостности (I:H) данных.
К счастью, производитель оперативно отреагировал на обнаруженную проблему. Корпорация Microsoft подтвердила наличие уязвимости и уже выпустила необходимые обновления безопасности. На текущий момент статус уязвимости в BDU указан как "устраненная". Это означает, что пользователям и администраторам необходимо как можно скорее убедиться в установке всех последних патчей для Microsoft 365 Copilot и связанных служб. Актуальные рекомендации и подробности обновлений опубликованы в Центре безопасности Microsoft (MSRC) по предоставленной ссылке.
Тем не менее, факт обнаружения такой уязвимости в столь глубоко интегрированном и активно продвигаемом продукте, как Copilot, вызывает серьезные вопросы. Интеллектуальные помощники на основе искусственного интеллекта, обрабатывающие огромные массивы корпоративных данных, становятся все более привлекательной мишенью для злоумышленников. Соответственно, их безопасность требует самого пристального внимания. Данный инцидент подчеркивает важность модели "нулевого доверия" (Zero Trust), при которой каждый запрос к системе должен подвергаться тщательной проверке, независимо от его источника.
Эксперты по кибербезопасности отмечают, что уязвимости класса "фальсификация запросов на стороне сервера" (SSRF) часто используются как начальный этап для более масштабных атак. Например, получив повышенные привилегии, злоумышленник может закрепиться в системе (persistence), развернуть вредоносную полезную нагрузку (malicious payload) или начать горизонтальное перемещение по корпоративной сети. Поэтому даже при наличии исправления компаниям рекомендуется провести аудит своих систем на предмет необычной активности, которая могла иметь место до установки патча.
В настоящее время нет подтвержденных данных об активной эксплуатации этой уязвимости в дикой природе. Однако, учитывая ее критичность и потенциальную ценность для групп продвинутой постоянной угрозы (APT), окно для обновления может быть недолгим. ИТ-отделам следует расценивать этот патч как приоритетный. В целом, этот случай служит своевременным напоминанием о том, что внедрение любых новых технологий, особенно связанных с ИИ, должно сопровождаться усиленными мерами безопасности на протяжении всего их жизненного цикла.
Ссылки
- https://bdu.fstec.ru/vul/2026-03516
- https://www.cve.org/CVERecord?id=CVE-2026-26137
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26137
