Злоумышленники воспользовались уязвимостью подмены учетных данных (spoofing) в Microsoft SharePoint Server до того, как Редмонд выпустил исправление в рамках апрельского мега-вторника патчей.
Ежемесячный выпуск патчей включал ошеломляющие 165 новых CVE от Microsoft.
А баг, который активно эксплуатируется, CVE-2026-32201, связан с некорректной проверкой вводимых данных в SharePoint, что позволяет неавторизованному злоумышленнику осуществить подмену учетных данных по сети. Это может дать возможность просматривать конфиденциальную информацию и вносить изменения в раскрытые данные.
“Эксплуатируя этот недостаток, злоумышленник может манипулировать представлением информации пользователям, потенциально обманывая их, заставляя доверять вредоносному контенту”, — сообщил нам Майк Уолтерс, президент и соучредитель провайдера управления патчами Action1, добавив, что этот баг может быть использован в фишинговых атаках, несанкционированных манипуляциях с данными или кампаниях по социальной инженерии, ведущих к дальнейшему компрометации.
“Этот недостаток позволяет злоумышленникам подделывать доверие в больших масштабах: то, что выглядит легитимным, на самом деле может быть тщательно продуманной дезинформацией”, — сказал Уолтерс. “Его можно использовать для обмана сотрудников, партнеров или клиентов путем представления ложной информации в доверенных средах SharePoint”.
Редмонд не предоставил никаких подробностей о том, как эта дыра в безопасности используется в реальных условиях, а также о том, кто ее обнаружил.
Может быть, Mythos или другой AI для поиска багов? The Register запросил у Microsoft дополнительную информацию и получил следующий ответ: “Ежегодно MSRC обрабатывает тысячи отчетов об уязвимостях от Microsoft и внешних исследователей, поэтому количество устраненных в любой вторник патчей может варьироваться. Сегодняшний выпуск не отражает значительного увеличения числа открытий, сделанных с помощью ИИ, хотя мы и отметили одного исследователя Anthropic, использовавшего Claude, в качестве автора одной уязвимости”.
Как отметил Дастин Чайлдс, главный специалист по поиску уязвимостей из Zero Day Initiative, в своем ежемесячном обзоре патчей, это, по его подсчетам, второй по величине ежемесячный выпуск CVE от Microsoft за всю историю.
“Мы можем много о чем догадываться, чтобы оправдать этот размер, но если Microsoft похожа на другие программы (включая нашу), они, вероятно, видят рост числа представлений, найденных с помощью инструментов ИИ”, — написал Чайлдс.
Хотя CVE-2026-32201 является единственным багом из 165 новых CVE, помеченных как активно эксплуатируемые — по крайней мере, на момент выпуска — еще один баг является общеизвестным.
Этот, отслеживаемый как CVE-2026-33825, представляет собой уязвимость повышения привилегий в Microsoft Defender. Хотя Microsoft не упоминает об этом в своем бюллетене, другие службы безопасности указали, что баг в Defender совпадает с кодом эксплойта под названием BlueHammer, опубликованным на GitHub ранее в этом месяце недовольным исследователем, называющим себя “Chaotic Eclipse”.
Похоже, они были крайне недовольны процессом раскрытия информации Microsoft. “Я никогда не хотел снова открывать блог и новый аккаунт на GitHub, чтобы выложить код… Но кто-то нарушил наше соглашение и оставил меня бездомным, без всего…”, — написал Chaotic Eclipse 2 апреля.
Они не первые, кто критикуетпроцесс отчетности о багах Редмонда и реакцию на исследователей.
“Я не буду комментировать высказывания исследователя о работе с Microsoft”, — написал Чайлдс. “Я просто рад, что они предлагают исправление для уязвимости. Если вы используете Defender, протестируйте и разверните это исправление быстро”. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
