В мире корпоративной безопасности произошло событие, требующее немедленного внимания администраторов и специалистов по защите информации. Агентство кибербезопасности и инфраструктурной безопасности США (CISA) внесло новую критическую уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV). Этот шаг является прямым ответом на обнаруженные факты активного использования проблемы злоумышленниками в реальных атаках. Речь идёт об ошибке под идентификатором CVE-2026-20963, затрагивающей популярные корпоративные платформы для совместной работы Microsoft SharePoint 2016, 2019 и Subscription Edition. Данное событие важно не только для крупного бизнеса, но и для государственных организаций, которые массово используют SharePoint для документооборота и управления контентом, поскольку успешная эксплуатация уязвимости позволяет получить полный контроль над сервером.
Детали уязвимости CVE-2026-20963
Согласно данным CISA, уязвимость связана с десериализацией непроверенных данных (CWE-502). Простыми словами, это распространённая ошибка программирования, при которой приложение некритично воспринимает и обрабатывает входящие данные от пользователя, считая их безопасными. В контексте SharePoint авторизованный злоумышленник, имеющий даже стандартную учётную запись пользователя в системе, может отправить специально сформированные вредоносные данные по сети. В результате неправильной обработки этих данных возникает возможность выполнения произвольного кода (RCE) на целевом сервере. Критичность угрозы подчёркивает её высокая оценка по шкале CVSS 3.1 - 8.8 баллов. Данный балл означает, что атака может быть проведена удалённо, не требует от злоумышленника сложных подготовительных действий или повышенных привилегий, а её последствия включают полную компрометацию конфиденциальности, целостности и доступности системы.
Фактически, злоумышленник, воспользовавшись этой брешью, получает права на выполнение команд на сервере SharePoint от имени учётной записи, под которой работает уязвимое приложение. Это открывает путь к самым разрушительным сценариям. Во-первых, атакующий может похитить все данные, хранящиеся на портале: внутренние документы, базы знаний, персональную информацию сотрудников. Во-вторых, появляется возможность закрепиться в системе, чтобы оставаться в ней незамеченным долгое время, расширяя контроль над другими узлами корпоративной сети. В-третьих, уязвимость может быть использована для распространения программ-вымогателей, которые шифруют данные и парализуют бизнес-процессы компании. Учитывая центральную роль SharePoint во многих организациях, последствия такой атаки могут быть катастрофическими: от многомиллионных убытков и остановки производства до потери репутации и судебных исков из-за утечки персональных данных.
Эксперты отмечают, что добавление CVE-2026-20963 в каталог KEV - это мощный сигнал для всех ответственных за инфраструктуру. Каталог известных эксплуатируемых уязвимостей не является просто списком опасных багов; это перечень конкретных проблем, которые в данный момент используются реальными угрозами, включая продвинутые постоянные угрозы (APT, Advanced Persistent Threat - сложные целевые атаки). Таким образом, CISA фактически заявляет, что данная уязвимость уже является инструментом в арсенале киберпреступников, а не просто теоретическим риском. Между тем, Microsoft уже выпустила исправления, закрывающие эту брешь. Для SharePoint Server 2016 необходимо обновиться до версии 16.0.5535.1001, для версии 2019 - до 16.0.10417.20083, а для Subscription Edition - до 16.0.19127.20442. Все более ранние сборки подвержены атаке.
Что же делать специалистам по информационной безопасности и системным администраторам? Рекомендации носят незамедлительный и обязательный характер. Первым и самым критичным шагом является применение обновлений безопасности от Microsoft как можно скорее, в обход стандартных циклов тестирования, учитывая активную эксплуатацию. Если немедленное обновление по каким-либо причинам невозможно, необходимо рассмотреть временные меры смягчения, такие как ограничение сетевого доступа к серверам SharePoint только из доверенных сегментов корпоративной сети и усиленный мониторинг исходящего трафика на предмет аномалий. Кроме того, крайне важно провести аудит учётных записей пользователей, минимизировав права доступа по принципу наименьших привилегий, поскольку для атаки требуется авторизация в системе. Также следует активизировать работу систем обнаружения вторжений (IDS, Intrusion Detection System) и управления событиями информационной безопасности (SIEM), настроив правила для выявления подозрительной активности, связанной с процессами десериализации на веб-серверах. В конечном счёте, история с CVE-2026-20963 служит очередным напоминанием о том, что своевременное обновление программного обеспечения остаётся одной из самых эффективных мер защиты, особенно когда речь идёт о компонентах, критичных для бизнеса. Промедление в данном случае равносильно сознательному принятию на себя высокого риска масштабного инцидента.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20963
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20963
- https://www.cisa.gov/news-events/alerts/2026/03/18/cisa-adds-one-known-exploited-vulnerability-catalog-0
