Американское киберведомство предупреждает об уязвимости в забытом SharePoint

Rce Sharepoint уязвимость Cisa исправление эксплуатация computerweekly.com

Уязвимость RCE в Microsoft SharePoint, которую по ошибке не включили в бюллетень Patch Tuesday за май, активно эксплуатируется в реальных условиях, сообщает Cisa.

Недавно обнаруженная, но по ошибке не опубликованная уязвимость удаленного выполнения кода (RCE) в Microsoft SharePoint, отслеживаемая как CVE-2026-45659, была добавлена в каталог известных эксплуатируемых уязвимостей (Kev) Агентства по кибербезопасности и защите инфраструктуры США (Cisa) после выявления доказательств активной эксплуатации в реальных условиях. Предполагается, что Microsoft выпустила исправление для CVE-2026-45649 в рамках обновления Patch Tuesday за май 2026 года, однако, по данным поставщика, сведения об этой CVE были «по ошибке опущены» в бюллетене обновлений. Организациям, полностью установившим майские обновления, не требуется предпринимать никаких дополнительных действий, но Бен Роналло, директор по операциям кибербезопасности в Black Duck, заявил, что упущение этой уязвимости усугубило риски для конечных пользователей. «Любая организация, полагающаяся исключительно на опубликованный бюллетень, а не на независимое сканирование и проверку уровней исправлений, могла отложить применение этого исправления, не осознавая, что оно уже доступно. Это напоминание о том, что бюллетени с исправлениями — это отправная точка, а не замена проверке того, что фактически работает», — сказал он. «Любая организация, обнаружившая локальную установку SharePoint с версией исправления старше 21 мая 2026 года, должна немедленно запустить процедуры установки исправлений и реагирования на инциденты для устранения риска, выявления любых индикаторов компрометации и сдерживания потенциального ущерба». CVE-2026-45659 возникает из-за проблемы десериализации недоверенных данных, которую Cisa охарактеризовала как «частый вектор атаки» для злоумышленников. Microsoft сообщила, что она может быть успешно использована аутентифицированным злоумышленником с минимальными правами или привилегиями, и предупредила, что ее эксплуатация относительно тривиальна. Уязвимость затрагивает SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. Добавление уязвимости в каталог Kev агентства Cisa обязывает федеральные гражданские исполнительные органы и ведомства срочно установить исправление — в данном случае до субботы, 4 июля, — однако агентство подчеркнуло, что всем подверженным риску организациям следует уделить первоочередное внимание устранению проблемы. Агентство не предоставило подробностей о каких-либо известных кибератаках, связанных с этой уязвимостью. Роберт Коулз, старший менеджер по анализу угроз безопасности в Black Duck, дополнительно подчеркнул риски для подверженных уязвимости организаций: «Большинство материалов упускают из виду то, что SharePoint давно перестал быть просто файловым хранилищем. Напротив, это место, где многие организации хранят по-настоящему ценные ресурсы: контракты, кадровые документы, конфиденциальные юридические материалы и так далее. «Таким образом, злоумышленник, которому удалось получить доступ, не просто копирует несколько файлов. Он оказывается в положении, недоступном даже для большинства инсайдеров. И это еще до того, как мы заговорим о проблеме горизонтального перемещения. SharePoint пользуется доверием. Он взаимодействует с другими системами. Получение плацдарма там часто ценнее самих документов». Коулз особо выделил отсутствие необходимости в привилегированном доступе для эксплуатации CVE-2026-45659, что расширяет потенциальный круг атакующих до любого, у кого есть действующая учетная запись.

Обновления Kev

За последние семь дней Cisa добавила в свой список обновлений еще три уязвимости. К ним относятся:

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: