Экстренные внеполосные исправления, выпущенные ИТ-гигантами Microsoft и Oracle, высветили проблемы, связанные как с циклами обновлений и установкой патчей, так и с безопасностью идентификации и концепцией нулевого доверия (zero-trust). Экстренное обновление Microsoft, KB5085516, устраняет проблему, возникшую после установки обязательных накопительных обновлений, выпущенных во время “Вторника патчей” ранее в этом месяце. По сообщению Microsoft, впоследствии выяснилось, что многие пользователи столкнулись с проблемами при входе в приложения с учетной записью Microsoft, видя сообщение об ошибке “нет интернета”, хотя соединение с сетью работало. Это привело к блокировке доступа к ряду сервисов и приложений. Следует отметить, что организации, использующие Entra ID, не столкнулись с этой проблемой. Однако экстренный патч от Microsoft вышел всего через несколько дней после того, как компания подтвердила свою приверженность качеству, надежности и стабильности программного обеспечения. В статье блога, опубликованной всего за 24 часа до выпуска последнего обновления, Паван Давулури из команды Windows Insider Program от Microsoft заявил, что обновления должны быть “предсказуемыми и удобными для планирования”. “У Microsoft выдалась неделя”, — отметил Майкл Белл, основатель и генеральный директор Suzu Labs. “Их руководитель по Windows опубликовал блог, обещая улучшенную надежность и качество 20 марта, а уже 21 марта они выпускают экстренное внеполосное исправление для бага со входом в систему, который внесло их собственное мартовское обновление безопасности. И это помимо отдельных горячих патчей для уязвимостей удаленного выполнения кода в RRAS и бага с видимостью Bluetooth. Три экстренных исправления за восемь дней не говорят о наступлении эры надежности”. Тем временем, патч от Oracle устраняет CVE-2026-21992 — уязвимость удаленного выполнения кода в компоненте REST:WebServices Oracle Identity Manager и компоненте Web Services Security Oracle Web Services Manager в Oracle Fusion Middleware. Ей присвоен балл CVSS 9.8, и она может быть использована неаутентифицированным злоумышленником, имеющим сетевой доступ по HTTP. На момент написания статьи нет сообщений об активной эксплуатации, однако предыдущие громкие уязвимости в Oracle быстро становились мишенью — в прошлом году схожая проблема RCE в E-Business Suite привлекла внимание плодовитой группировки вымогателей Cl0p. Белл отметил, что еще одна, возможно, связанная проблема RCE до аутентификации в Oracle Identity Manager — CVE-2025-61757 — была быстро добавлена в список известных эксплуатируемых уязвимостей Агентства по кибербезопасности и защите инфраструктуры (CISA) из-за того, насколько тривиальной и легкой для использования она оказалась. Он предположил, что последний баг может последовать по тому же пути. “Причина, по которой это важнее типичной оценки 9.8, — это цель”, — сказал Белл. “Выполнение кода на платформе управления идентификацией означает, что атакующий может переписать политики доступа, контролирующие остальную часть предприятия, и это превращает одну CVE в постоянный доступ ко всей сети”.
Нулевое доверие под вопросом
Ноэль Мурата, старший инженер по безопасности в Xcape, заявила, что эти два обновления проиллюстрировали “разрушение доверия к традиционным циклам обновлений”. “Когда Oracle Identity Manager, буквальный мозг корпоративной безопасности, требует патч для RCE без аутентификации, это доказывает, что инструменты, которые мы используем для построения zero-trust, часто являются нашими самыми опасными единичными точками отказа”, — сказала она. “В то же время, необходимость Microsoft выпускать обновление безопасности только для того, чтобы прекратить вводить пользователей в заблуждение фантомными ошибками подключения, подчеркивает растущий разрыв в качестве”. Мурата посетовала на цикл, в котором услуги безопасности поставляются либо в виде предустановленных бэкдоров, либо в виде сбоев, убивающих продуктивность, и призвала отрасль требовать большего, чем просто более быстрое и лучшее исправление патчей, если она действительно хочет защитить пользователей. “Нам нужен общеотраслевой поворот к архитектурам, устойчивым по своей сути, которые не выходят из строя, когда один HTTP-запрос достигает уровня идентификации”, — заявила она. “Если zero-trust означает, что мы не можем доверять менеджеру идентификации в плане безопасности или операционной системе в плане предоставления нам входа в систему, то поздравляю; отрасль наконец достигла своей цели”.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
