Новая уязвимость в Microsoft Dynamics 365 привлекла внимание специалистов по информационной безопасности. Эта система для планирования ресурсов предприятия широко используется в среднем и крупном бизнесе. Следовательно, любая брешь в её защите может затронуть тысячи организаций по всему миру. Речь идёт о проблеме, которая получила идентификаторы BDU:2026-08903 и CVE-2026-47647. Согласно данным из Банка данных угроз безопасности информации (BDU), уязвимость была выявлена 18 июня 2026 года. Она уже подтверждена производителем, а компания Microsoft выпустила обновление для её устранения.
Детали уязвимости
В чём суть проблемы? Разработчики допустили ошибку в механизмах разграничения доступа. Точнее, уязвимость относится к типу CWE-284 - неправильный контроль доступа. Это означает, что система некорректно проверяет права пользователя при выполнении определённых операций. Злоумышленник, действующий удалённо, может использовать эту слабость. Ему потребуется лишь учётная запись с минимальными привилегиями. После аутентификации атакующий отправляет специально сформированный запрос к серверу. В результате он получает возможность повысить свои права до уровня администратора. Иными словами, рядовой сотрудник может захватить полный контроль над всей системой планирования ресурсов.
Базовая оценка CVSS версии 3.1 составляет 9,9 балла из десяти. Это критический уровень опасности. Вектор выглядит так: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Расшифруем: атака возможна по сети (AV:N), сложность низкая (AC:L), для эксплуатации нужна аутентификация с низким уровнем прав (PR:L). Взаимодействие с пользователем не требуется (UI:N). Самое неприятное - уязвимость затрагивает всю систему (S:C), а влияние на конфиденциальность, целостность и доступность оценивается как высокое (C:H/I:H/A:H). Таким образом, один неосторожный шаг может привести к полной компрометации сервера.
Уязвимость относится к классу архитектурных ошибок. Это не просто баг в коде, а недостаток проектирования. Проблема кроется в логике проверки прав доступа к ресурсам системы Dynamics 365. В обычной ситуации сервер должен сверять запрос пользователя с матрицей доступа. Но из-за неправильного контроля доступа проверка либо не выполняется, либо выполняется некорректно. Злоумышленник может отправить запрос на выполнение привилегированной операции, и сервер не откажет ему. В результате нарушитель получает возможность создавать новых пользователей с любыми правами, читать и изменять конфиденциальные данные, останавливать или изменять бизнес-процессы.
Каковы возможные последствия? Прежде всего, полная утечка данных. Dynamics 365 хранит финансовую отчётность, сведения о клиентах, логистические цепочки и кадровую информацию. Если злоумышленник станет администратором, он сможет выгрузить все эти данные. Далее, возможен саботаж: удаление критических настроек, изменение алгоритмов расчёта заработной платы, блокировка доступа законных сотрудников. В конечном счёте атака может привести к остановке производства или цепочки поставок. Компания понесёт финансовые потери, репутационный ущерб, а в некоторых случаях - и юридические последствия из-за нарушения законов о персональных данных.
Важно подчеркнуть, что уязвимость уже устранена производителем. Microsoft выпустила патч. Администраторам настоятельно рекомендуется как можно скорее установить обновление. Если по каким-то причинам установка патча временно невозможна, следует ограничить сетевой доступ к серверу Dynamics 365 только для доверенных IP-адресов и усилить мониторинг подозрительной активности. Кроме того, стоит провести аудит прав доступа: отозвать лишние привилегии у пользователей, оставить только минимально необходимые.
Вместе с тем нельзя забывать о профилактике. Регулярное обновление программного обеспечения - базовая мера, но её часто недооценивают. Кроме того, специалистам по безопасности полезно внедрить системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Они помогут выявить аномальные запросы, похожие на эксплуатацию данной уязвимости. Также стоит настроить логирование всех событий входа и повышения привилегий. Это позволит быстрее обнаружить следы атаки.
Таким образом, уязвимость CVE-2026-47647 представляет серьёзную угрозу для любого бизнеса, использующего Microsoft Dynamics 365. Критический балл CVSS 9,9 сам по себе говорит о высокой опасности. Однако своевременная установка патча и грамотные организационные меры способны свести риск к минимуму. Специалистам по информационной безопасности стоит немедленно проверить свои системы на наличие незакрытой уязвимости и принять необходимые меры. Игнорировать эту проблему нельзя - последствия могут оказаться катастрофическими для всей организации.
Ссылки
- https://bdu.fstec.ru/vul/2026-08903
- https://www.cve.org/CVERecord?id=CVE-2026-47647
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47647
