Последнее ежемесячное обновление Patch Tuesday от Microsoft вышло 14 апреля и включает две заметные уязвимости нулевого дня среди более чем 160 различных проблем, а также около 250 с учетом сторонних релизов и обновлений Chromium. Дастин Чайлдс из Zero Day Initiative (ранее Trend Micro) компании TrendAI охарактеризовал его как «чудовищное» по своему масштабу, отметив, что это может быть одно из крупнейших обновлений Patch Tuesday в истории. Чайлдс предположил, что, основываясь на его опыте, это может быть результатом растущего числа обнаруженных с помощью инструментов искусственного интеллекта (ИИ) материалов. Джек Бицер, директор по исследованиям уязвимостей в Action1, заявил: «Увеличенное количество исправлений в сочетании с наличием уязвимостей нулевого дня и множеством критических проблем делает этот релиз тем, которому следует уделить первоочередное внимание». Первая из двух уязвимостей нулевого дня — CVE-2026-32201, уязвимость спуфинга, ведущая к межсайтовому скриптингу (XSS) в Microsoft SharePoint Server, которая, как известно, эксплуатировалась в реальных условиях, но еще не была обнародована. Предполагается, что коренная причина проблемы заключается в сбое проверки ввода, который позволяет злоумышленнику внедрять вредоносные скрипты через некорректно очищенные поля ввода. Хотя первая из них имеет относительно низкую оценку Общей системы оценки уязвимостей (CVSS) — 6.5, Мэт Ли, старший инженер по безопасности в Automox, заявил, что это преуменьшает риск для пользователей, поскольку для эксплуатации не требуется аутентификация или специальные привилегии. «Внешние угрозы могут атаковать экземпляры SharePoint, доступные из Интернета, напрямую. Серверы SharePoint, развернутые локально и доступные из Интернета, несут наибольший риск. SharePoint часто подключается к серверным хранилищам, службам каталогов и внутренним инструментам совместной работы. Успешная эксплуатация XSS открывает злоумышленникам путь глубже в вашу среду», — сказал Ли. В одном из возможных сценариев атаки вредоносный JavaScript может быть выполнен в браузере пользователя, посещающего скомпрометированную страницу SharePoint, что может позволить злоумышленнику украсть сеансовые файлы cookie или токены аутентификации для захвата учетных записей. Между тем, внедрение XSS открывает возможность для фишинговых перенаправлений или даже вредоносных полезных нагрузок, таких как программы-вымогатели, что делает CVE-2026-32201 полезной в более широкой кампании. Ли рекомендовал командам безопасности быть бдительными в отношении неожиданного выполнения скриптов или внедрения iframe на общедоступных страницах SharePoint, повторного использования сеансовых токенов или неожиданных событий аутентификации с неизвестных IP-адресов, а также жалоб пользователей на неожиданные перенаправления или запросы на вход при посещении страниц SharePoint. Помимо немедленного установки исправлений, командам безопасности следует провести аудит доступности своих экземпляров SharePoint, уделяя первоочередное внимание локальным развертываниям, доступным из общедоступного Интернета, просмотреть заголовки политики безопасности контента (CSP) на экземплярах SharePoint и отслеживать журналы аутентификации на предмет странного поведения. Вторая уязвимость нулевого дня, CVE-2026-33825, представляет собой ошибку повышения привилегий (EoP) в Microsoft Defender — она была обнародована, но пока не считается эксплуатируемой. Бицер из Action1 пояснил, что эта ошибка вызвана «недостаточной детализацией» в контроле доступа, что превращает то, что должно быть ограниченным доступом, в полный контроль. «То, что начинается как точка опоры, может быстро перерасти в полное доминирование над системой», — сказал он. Бицер продолжил: «Ошибка позволяет локальному злоумышленнику с низкими привилегиями использовать недостатки в механизмах принудительного применения разрешений. Используя эту слабость, злоумышленник может выполнять код или действия с повышенными привилегиями, в конечном итоге достигая доступа на уровне SYSTEM. Этот тип уязвимости особенно опасен, поскольку его можно объединить с другими эксплойтами для расширения первоначального доступа до полного компрометации системы». Таким образом, пояснил он, CVE-2026-33825 представляет собой повышенный риск в любой среде, где злоумышленник уже закрепился. В случае успешной эксплуатации она может позволить злоумышленникам получить полный контроль над конечными точками организации, что позволит им красть данные, отключать инструменты безопасности и перемещаться по сетям к более ценным целям. «Даже среды с надежной периметральной защитой подвержены риску, если скомпрометированы внутренние системы», — сказал Бицер. «Код эксплойта с доказательством концепции [PoC] доступен, и уязвимость была публично раскрыта. Хотя активная эксплуатация не подтверждена, наличие кода PoC увеличивает вероятность атак в реальном мире».
Ошибка Chromium
Апрельский выпуск также включал третью уязвимость нулевого дня — CVE-2026-5281, проблему удаленного выполнения кода (RCE), затрагивающую браузеры Chromium, возникающую из-за условия «использование после освобождения» (use after free) в Google Dawn WebGPU. Она была раскрыта ранее и добавлена в каталог CISA «Известные эксплуатируемые уязвимости» (Kev) в начале апреля. Джин Муди, технический директор Action1, заявил, что уязвимости браузеров являются одной из наиболее асимметричных и опасных категорий рисков. «Они превращают каждого пользователя в блуждающую точку входа, фактически расширяя поверхность атаки до любого места, куда кликает сотрудник. Когда раскрывается критический недостаток браузера, расчет риска становится принципиально иным», — сказал Муди. «Это не служба, тихо сидящая на периферии в ожидании обнаружения; это активно используемая среда выполнения, которая весь день анализирует недоверенный контент. Задержка с установкой исправлений в этом контексте равносильна сознательному разрешению пользователям работать во враждебной среде с ослабленной защитой. «Злоумышленники ставят превыше всего первоначальный доступ. Эксплойты для браузеров уникально эффективны, поскольку они сокращают расстояние между злоумышленником и целью», — добавил он. Наконец, обновление Patch Tuesday за апрель включает восемь уязвимостей, оцененных как критические по степени серьезности. В числовом порядке это:
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
