Критическая уязвимость в Windows Internet Key Exchange для защищенных коммуникаций, активно эксплуатируемая уязвимость нулевого дня в Microsoft SharePoint и критическая уязвимость SQL-инъекции в продукте SAP стали основными темами выпуска обновлений Patch Tuesday в апреле, требующими немедленного внимания ИТ-команд по безопасности.
«Ландшафт угроз в апреле определяется не просто теоретическими уязвимостями, а немедленной реальной эксплуатацией», — заявил Ник Кэрролл, руководитель группы ShadowScout в Nightwing. «Команды безопасности должны уделять первоочередное внимание активным уязвимостям нулевого дня в приложениях, используемых ежедневно, таких как Chrome, Acrobat и SharePoint, используя поведенческую разведку угроз, а не базовые оценки CVSS, чтобы опережать противников».
Кэрролл считает наиболее критичной из 167 проблем, выявленных Microsoft в этом месяце, CVE-2026-32201 в SharePoint Server, которая может позволить злоумышленнику выдать себя за SharePoint из-за некорректной проверки вводимых данных. В результате злоумышленник может просматривать конфиденциальную информацию организации и вносить изменения в раскрытую информацию. Она активно эксплуатируется.
Сатнам Наранг, старший инженер-исследователь в Tenable, отметил, что эта уязвимость «может показаться дежавю, и это потому, что последняя уязвимость подмены в SharePoint Server, эксплуатируемая как уязвимость нулевого дня, была CVE-2025-49706 от июля 2025 года, являющаяся частью цепочки эксплойтов ToolShell, используемой группами программ-вымогателей и кибершпионажа. Хотя у нас нет информации об эксплуатации в реальных условиях, связанной с этим последним недостатком, и о том, связана ли она с цепочкой эксплойтов ToolShell, это подчеркивает, насколько ценным является SharePoint Server в качестве цели для злоумышленников».
Кевин Брин, старший директор по исследованиям угроз в Immersive, отметил, что службы SharePoint, особенно те, которые используются в качестве внутренних хранилищ документов, могут быть «настоящим кладезем для злоумышленников, стремящихся украсть данные, особенно данные, которые могут быть использованы для принуждения к выплате выкупа, [а затем] с использованием методов двойного вымогательства, угрожая опубликовать украденные данные, если оплата не будет произведена».
Вторичная проблема, добавил он, заключается в том, что злоумышленники, получившие доступ к службам SharePoint, могут развертывать вредоносные документы или заменять легитимные документы зараженными версиями, что позволит им расширить свое присутствие на другие хосты или жертвы, перемещаясь по организации по горизонтали.
Приоритетные уязвимости
Наиболее высоко оцененная уязвимость, 9,8 по шкале CVSS, находится в расширениях службы Windows Internet Key Exchange (IKE) (CVE-2026-33824). Она может позволить злоумышленнику выполнить удаленный код в системе, если она не будет немедленно исправлена. Сложность атаки низкая, и не требуются привилегии пользователя. Все, что нужно злоумышленнику, — это отправить специально сформированные пакеты на машину Windows с включенной версией IKE 2.
Затронуты Windows Server 2025; Windows Server 2022, редакция 23H2 с установкой Server Core; Windows Server 2019 и 2016 с установкой Server Core; а также определенные настольные версии Windows 10 и 11 для систем x64, 32-разрядных и ARM.
Администраторы Windows, которые не могут немедленно установить обновление безопасности, могут предпринять одно из двух действий в зависимости от своей среды:
- блокировать входящий трафик на UDP-портах 500 и 4500 для систем, которые не используют IKE;
- для систем, требующих IKE, настроить правила брандмауэра, разрешающие входящий трафик на UDP-портах 500 и 4500 только от известных адресов партнеров.
Microsoft отметила, что эти действия уменьшают поверхность атаки, но не заменяют установку обновления безопасности.
Брин отметил, что, хотя Microsoft пометила этот недостаток как «маловероятный для эксплуатации», это не означает, что он не может быть использован. По его словам, в прошлом были эксплойты и концепции доказательства (PoC), которые затрагивали IKE, поэтому мотивированные злоумышленники могут использовать и этот.
Джек Бицер, директор по исследованиям уязвимостей в Action1, заявил, что со стратегической точки зрения ИТ-руководство должно уделять первоочередное внимание усилиям по устранению уязвимости IKE и CVE-2026-33826, уязвимости удаленного выполнения кода в Active Directory, из-за их сочетания эксплуатируемости и влияния на предприятие в целом.
Он сказал, что уязвимость в Active Directory «представляет прямую угрозу для инфраструктуры идентификации. Эксплуатируя некорректную проверку вводимых данных при обработке RPC, аутентифицированный злоумышленник может выполнить произвольный код в домене. Низкая сложность эксплуатации в сочетании с центральной ролью Active Directory значительно усиливает риск. После использования эта уязвимость может ускорить повышение привилегий и обеспечить полный захват домена, подрывая границы доверия предприятия».
Бицер также отметил, что немедленного внимания заслуживает уязвимость удаленного выполнения кода в Windows TCP IP, CVE 2026 33827, из-за ее охвата основных сетевых функций, даже при более высокой сложности эксплуатации.
«Редко можно увидеть по-настоящему удаленную уязвимость TCP/IP в наши дни», — прокомментировал Тайлер Регули, заместитель директора по исследованиям и разработкам в области безопасности в Fortra, — «и именно этим является CVE-2026-33827: несанкционированное сетевое выполнение кода против IPv6. Сложность атаки указана как высокая, поскольку уязвимость основана на состоянии гонки, а также на «дополнительных действиях», как это называет Microsoft, но все равно впечатляет видеть такие уязвимости, выявленные в 2026 году».
Еще одна уязвимость, которую Брин настоятельно рекомендует исправить, — это CVE-2026-33825, уязвимость повышения привилегий в Microsoft Defender. Microsoft пометила ее как публично раскрытую с наличием концепции доказательства (PoC).
По его словам, уязвимость повышения привилегий часто обнаруживается после того, как злоумышленник уже получил первоначальный доступ к хост-машине, возможно, через атаки социальной инженерии. Эксплуатация уязвимости повышения привилегий позволяет злоумышленнику получить права уровня SYSTEM, чего достаточно для отключения инструментов безопасности и ведения журнала перед развертыванием дополнительного вредоносного ПО и горизонтальным перемещением.
Брин отметил, что, хотя Microsoft не связывает эту уязвимость с недавно публично раскрытой необновленной уязвимостью нулевого дня BlueHammer, которая также затрагивает Microsoft Defender, «в любом случае, обеспечение надлежащей настройки Defender для получения своевременных обновлений важно и должно быть приоритетной проверкой в этом цикле, учитывая наличие как минимум одной, а возможно, и двух публичных концепций доказательства».
Команды должны быть адекватно обеспечены ресурсами для справления
Регули отметил, что в этом месяце директора по информационной безопасности (CISO) могут быть обеспокоены большим количеством пунктов, которые должны просмотреть администраторы. «Много CVE и много разовых проблем, которые мы обычно не видим», — сказал он. «Хотя обновления Windows и автоматические обновления для некоторых приложений возьмут на себя большую часть тяжелой работы, все же требуется тестирование перед развертыванием таких больших обновлений. Кроме того, при работе с такими продуктами, как .NET, SharePoint и SQL Server, всегда существует вероятность возникновения проблем с трудными исправлениями и/или несовместимостью версий во время тестирования.
«Терпение станет ключевым словом в этом месяце, за которым очень быстро последует обеспечение ресурсами. Масштабные выпуски патчей, подобные этому, и обсуждение LLM следующего поколения означают, что мы должны осознавать давление на наши команды и объем работы, которую от них ожидают. Если вы по-прежнему рассматриваете свои команды безопасности как центр затрат, пришло время пересмотреть это и посмотреть на ценность, которую они приносят в защите ваших данных и систем. Масштабные выпуски патчей означают, что вам действительно нужно проанализировать свои команды, чтобы убедиться, что они адекватно обеспечены ресурсами».
Объем исправлений может быть связан с Mythos
Эй Джей Гротто, бывший старший директор Белого дома по киберполитике, а ныне научный сотрудник Центра международного сотрудничества в области безопасности Стэнфордского университета, отметил, что 167 уязвимостей Microsoft, выявленных в этом месяце, более чем вдвое превысили мартовский показатель и почти втрое — февральский.
«Эти цифры колеблются», — признал он, — «но рост заметен, особенно в свете новостей о том, что LLM Mythos от Anthropic превосходно находит уязвимости. Microsoft входит в число компаний, приглашенных Anthropic для участия в ее предварительной инициативе, направленной на то, чтобы дать таким компаниям, как Microsoft, фору в исправлении своих систем до того, как LLM будет выпущен для общего пользования».
Он задался вопросом: «Какая часть этого роста связана с Mythos? И насколько мы должны беспокоиться о том, что рост уязвимостей в уже уязвимых продуктах Microsoft в апреле — это только верхушка айсберга?»
Кроме того, Крис Гёттль, вице-президент по управлению продуктами в Ivanti, предположил, что существует связь между только что исправленной уязвимостью нулевого дня в Acrobat Reader, другими недавно обнаруженными уязвимостями и Mythos.
«Большая часть обсуждений вокруг Mythos была сосредоточена на том, где он будет использоваться и каковы будут последствия», — сказал он CSO. «Поиск эксплуатируемых недостатков в коде может быть мощным инструментом во благо, когда его использует поставщик, пишущий код, до его выпуска. Однако он также будет использоваться исследователями и злоумышленниками для поиска недостатков в уже выпущенном коде, и именно на это направлены мои предположения.
«Рассмотрите побочные эффекты такой масштабной модели, как Mythos, и то, что это будет означать в краткосрочной и долгосрочной перспективе для программного обеспечения, которое потребляют компании. В краткосрочной перспективе крупные игроки будут использовать такое решение для выпуска более безопасного кода. По мере того как исследователи и злоумышленники будут внедрять более надежные модели ИИ для выявления эксплуатируемых недостатков, это приведет к более скоординированному раскрытию информации (хорошо), эксплойтам нулевого дня (плохо) и эксплойтам n-го дня (плохо). Все это приведет к более частым и, что более важно, срочным обновлениям программного обеспечения».
Критическая уязвимость SAP
Отдельно SAP выпустила исправление для критической уязвимости SQL-инъекции в SAP Business Planning and Consolidation и SAP Business Warehouse. Уязвимая программа ABAP позволяет пользователю с низкими привилегиями загрузить файл с произвольными SQL-операторами, которые затем будут выполнены. Примечание по безопасности SAP №3719353 с оценкой CVSS 9,9 устраняет уязвимость, деактивируя весь исполняемый код в затронутой программе.
Согласно Onapsis, в качестве временного обходного решения SAP рекомендует отозвать объект авторизации S_GUI с Действием 60 (Загрузка) у учетных записей пользователей. Поскольку это обходное решение может привести к побочным эффектам в других приложениях для затронутых пользователей, а также из-за критичности уязвимости, Onapsis настоятельно рекомендует немедленно применить исправление.
Примечание по безопасности SAP №3731908 с оценкой CVSS 7,1 устраняет уязвимость отсутствия проверки авторизации в SAP ERP и SAP S/4 HANA (Private Cloud и локально). По данным Onapsis, уязвимость позволяет аутентифицированному злоумышленнику выполнить определенную программу ABAP для перезаписи любой существующей восьмисимвольной исполняемой программы без авторизации. SAP заявляет, что успешная эксплуатация влияет на доступность, с ограниченным влиянием на целостность, ограниченным затронутым отчетом, в то время как конфиденциальность остается незатронутой.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
