CISA призывает немедленно усилить защиту SharePoint на фоне роста эксплойтов

Sharepoint Cisa уязвимости патчи безопасность эксплуатация csoonline.com

CISA требует немедленно обезопасить Microsoft SharePoint из-за трех активно эксплуатируемых уязвимостей. Установите патчи, включите AMSI, сегментируйте сеть и исходите из того, что компрометация неизбежна. Старые ошибки CVE-2026-45659 и CVE-2026-32201 также в приоритете.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) призвало организации немедленно обезопасить развертывания Microsoft SharePoint после предупреждения о том, что три уязвимости, затрагивающие локальную платформу для совместной работы, активно эксплуатируются.

В недавнем предупреждении федерального надзорного органа по кибербезопасности администраторам предписывалось установить исправления на уязвимые серверы, изучить рекомендации Microsoft по смягчению последствий и исходить из того, что экземпляры SharePoint, доступные из интернета, остаются привлекательной целью для злоумышленников, ищущих начальную точку проникновения в корпоративные среды.

Хотя установка исправлений остается первоочередной задачей, эксперты по безопасности предупреждают, что организациям не следует рассматривать это предупреждение просто как очередное мероприятие в рамках Patch Tuesday.

«Именно это отличает ИТ-инцидент от бизнес-кризиса, — сказал Крис Боэм, полевой технический директор Zero Networks. — Один скомпрометированный сервер SharePoint — это билет. Тот же сервер, имеющий прямой путь к вашим контроллерам домена, резервным копиям и общим файловым ресурсам, — вот как вы получаете зашифрованную инфраструктуру и событие раскрытия данных. Сегментация не дает первому превратиться во второе».

В предупреждении CISA выделены CVE-2026-332201, CVE-2026-45659 и недавно добавленная CVE-2026-56164 — все они теперь подтверждены как эксплуатируемые в реальных условиях и внесены в каталог известных эксплуатируемых уязвимостей (KEV) агентства.

Эксплуатация рассказывает другую историю о серьезности

Последним дополнением к каталогу KEV от CISA стала CVE-2026-56164 — уязвимость повышения привилегий, затрагивающая Microsoft SharePoint Server. Хотя ей присвоен показатель CVSS 5.3, эта ошибка может быть удаленно эксплуатирована без аутентификации, что делает ее на практике значительно более опасной, чем предполагает только ее оценка серьезности.

Microsoft выпустила обновления безопасности для поддерживаемых версий SharePoint и рекомендовала включить интеграцию с интерфейсом проверки антивирусного ПО (AMSI) для обнаружения вредоносных запросов, связанных с попытками эксплуатации.

CISA также рекомендовала организациям следовать руководству Microsoft по реагированию на инциденты, искать индикаторы компрометации и при необходимости заменять ключи компьютеров SharePoint, признавая, что одного лишь исправления может быть недостаточно для полного удаления механизмов закрепления злоумышленника на уже скомпрометированных серверах.

Старые уязвимости остаются активными точками входа

Наряду с недавно раскрытой ошибкой, CISA вновь подчеркнула срочность устранения CVE-2026-45659 — уязвимости небезопасной десериализации, позволяющей выполнить удаленный код (RCE), которую Microsoft в своем предупреждении в мае пометила как «эксплуатация маловероятна». Другой старой ошибкой, на которую указала CISA, является CVE-2026-32201 — уязвимость неправильной проверки ввода, позволяющая проводить спуфинг по сети.

Обе эти ошибки активно эксплуатируются в реальных условиях.

CISA обратила внимание на организации, не успевающие за обновлениями SharePoint, добавив, что злоумышленники все чаще нацеливаются на N-дневные уязвимости, а не полагаются исключительно на недавно обнаруженные zero-day.

Касаясь вопросов скорости установки исправлений, Боэм отметил, что устойчивость становится архитектурной проблемой в той же мере, что и операционной.

«Перестаньте измерять это скоростью установки заплаток, — сказал он. — Это гонка, которую вы в конечном итоге проигрываете. Некоторые из этих уязвимостей появлялись как zero-day без исправлений в первый же день, а окно между раскрытием и эксплуатацией продолжает сокращаться. Так что вопрос на уровне совета директоров не в том, будет ли сервер скомпрометирован. Предположите, что будет. Вопрос в том, какую часть бизнеса может уничтожить одна скомпрометированная система».

Боэм утверждал, что ограничение сетевой доступности через сегментацию должно стоять наравне с управлением исправлениями и поиском угроз в качестве основной оборонительной стратегии. Доступность, по его словам, — это контроль, которым организации владеют, а не время установки заплаток. CISA дала агентствам Федеральной гражданской исполнительной ветви власти (FCEB) три дня на устранение CVE-2026-56164 в соответствии с Обязательной оперативной директивой (BOD) 22-01.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: