SharePoint Server под прицелом: CISA требует срочного обновления во избежание атак программ-вымогателей

Sharepoint Cisa Cve-2026-45659 эксплуатация патч techtimes.com

Уязвимость SharePoint Server CVE-2026-45659 находится в активной эксплуатации. CISA добавило уязвимость удаленного выполнения кода через десериализацию в свой каталог известных эксплуатируемых уязвимостей 1 июля, дав агентствам срок до сегодняшнего дня для установки патчей. Запустить недостаток может любой пользователь с доступом участника сайта — не требуется.

Федеральные агентства, использующие локальные серверы Microsoft SharePoint Server, столкнулись с жестким сроком установки исправлений — 4 июля 2026 года. Это произошло после того, как Агентство по кибербезопасности и защите инфраструктуры США (CISA) 1 июля подтвердило, что злоумышленники активно используют уязвимость удаленного выполнения кода высокой степени критичности, которую может запустить любой рядовой сотрудник, подрядчик или партнер, имея лишь стандартные учетные данные для редактирования документов. Уязвимость, CVE-2026-45659, была устранена Microsoft внеплановым обновлением в конце мая, однако пятинедельная задержка между выпуском патча и подтверждением CISA активной эксплуатации означает, что организации, отложившие установку обновления, теперь соревнуются с противниками, которые уже проникли в некоторые сети.

Microsoft выпустила исправление, но изначально оценила вероятность эксплуатации как «маловероятную». SecurityWeek сообщило, что 1 июля CISA изменило эту оценку в своем списке известных уязвимостей, находящихся в активной эксплуатации (Known Exploited Vulnerabilities), на основании подтвержденных доказательств того, что эксплуатация уже ведется.

Почему доступ участника сайта делает каждого сотрудника потенциальным вектором атаки

CVE-2026-45659 переворачивает обычную модель вторжения в корпоративные системы. Злоумышленникам, нацеленным на большинство корпоративных систем, сначала необходимо получить привилегированный доступ — учетную запись администратора домена, учетную запись службы или, как минимум, точку опоры в повышенной системе. Данный недостаток не требует ничего из этого.

Согласно рекомендациям Microsoft, запустить уязвимость может любой аутентифицированный пользователь, обладающий минимальными правами участника сайта (Site Member). Уровень доступа участника сайта не является повышенным. Это стандартный уровень доступа, предоставляемый сотрудникам, которые совместно работают с библиотеками документов SharePoint — персоналу, которому необходимо просматривать, загружать или редактировать файлы. В большинстве корпоративных развертываний SharePoint доступ участника сайта широко распространен: среди команд, отделов, подрядчиков, а во многих случаях и партнерских организаций с общими рабочими пространствами документов. Таким образом, поверхность атаки для CVE-2026-45659 масштабируется прямо пропорционально нормальному использованию SharePoint организацией в качестве платформы для совместной работы.

Как работает уязвимость десериализации

Основная уязвимость классифицируется как CWE-502, десериализация недоверенных данных. Когда SharePoint передает или хранит структурированные данные, он преобразует сложные объекты — метаданные документов, состояние сеанса, конфигурацию приложения — в плоский поток байтов для передачи или хранения. Десериализация — это обратный процесс: SharePoint получает этот поток байтов и восстанавливает его в рабочие объекты, с которыми может взаимодействовать приложение.

Документация OWASP по уязвимостям десериализации объясняет основную проблему: когда приложение восстанавливает объекты из данных, не проверив должным образом, что результат будет допустимым, злоумышленник, контролирующий ввод, может заставить приложение создать и выполнить вредоносный объект вместо законных данных приложения.

Именно это и позволяет CVE-2026-45659. Злоумышленник, отправляющий специально сформированный сериализованный полезный груз, заставляет SharePoint восстановить и выполнить код, контролируемый злоумышленником. Этот код выполняется внутри рабочего процесса SharePoint w3wp.exe под идентификатором службы пула приложений. Microsoft подтвердила, что атака не требует предварительного знания целевой системы и может достичь, по словам компании, «повторяющегося успеха с полезной нагрузкой против уязвимого компонента» — это означает, что как только у злоумышленника появляется рабочий эксплойт, он может надежно развертывать его в масштабе против любого необновленного сервера SharePoint, до которого он может добраться и к которому может аутентифицироваться.

Кто затронут

Уязвимость затрагивает три линейки продуктов SharePoint Server, развернутых локально. SharePoint Online — облачная версия Microsoft 365 — не затронута.

Продукт Уязвимая сборка ниже
SharePoint Server Subscription Edition 16.0.19725.20280
SharePoint Server 2019 16.0.10417.20128
SharePoint Enterprise Server 2016 16.0.5552.1002

Чтобы проверить текущую сборку фермы, выполните в SharePoint Management Shell следующую команду:

Get-SPFarm | Select BuildVersion

Если сборка ниже указанных пороговых значений, сервер активно уязвим. Администраторы, управляющие многосерверными фермами, должны проверять каждый узел индивидуально; один обновленный веб-интерфейс не защищает ферму, если другие серверы остаются на уязвимой сборке.

Как применить исправление для Microsoft SharePoint

Microsoft выпустила исправление в виде внепланового обновления в конце мая 2026 года. CVE-2026-45659 по ошибке не была включена в стандартное объявление Microsoft о «вторнике исправлений» (Patch Tuesday) за май, что означает, что организации, полагающиеся на бюллетень безопасности для определения приоритетов установки исправлений, могли не счесть это обновление срочным на момент выпуска. Листинг KEV от CISA от 1 июля делает эту предварительную сортировку неактуальной: исправление существует, и эксплуатация подтверждена.

В рекомендациях Центра реагирования на угрозы безопасности Microsoft по CVE-2026-45659 перечислены конкретные исправления:

  • SharePoint Server Subscription Edition → KB5002863
  • SharePoint Server 2019 → KB5002870
  • SharePoint Enterprise Server 2016 → KB5002868

После применения каждого обновления на каждом сервере в ферме требуются два дополнительных шага. Во-первых, запустите мастер настройки продуктов SharePoint (SharePoint Products Configuration Wizard) на каждом сервере — сначала на сервере приложений, затем на каждом веб-интерфейсе. Мастер не запускается автоматически; пропуск этого шага оставляет ферму в частично сконфигурированном состоянии. Во-вторых, после завершения работы мастера выполните команду iisreset /restart на каждом веб-интерфейсе. Оставление IIS в состоянии до установки исправления на любом узле сохраняет уязвимую конечную точку, даже если двоичные файлы были обновлены.

Уже ли сервер скомпрометирован?

Организации, которые не установили обновление за май 2026 года, должны рассматривать установку исправлений и оценку компрометации как одновременные, а не последовательные действия. Успешная эксплуатация CVE-2026-45659 приводит к выполнению кода, контролируемого злоумышленником, внутри рабочего процесса SharePoint. Защитникам следует искать следующее:

Аномальные древа процессов: Отслеживайте запуск дочерних процессов процессом w3wp.exe — в частности, cmd.exe, powershell.exe или cscript.exe — на серверах SharePoint. Это наиболее надежный индикатор после эксплуатации.

Подозрительные записи в журналах IIS: Проверьте журналы на всех серверах веб-интерфейса на наличие необычных POST-запросов к путям /_layouts/, особенно тех, которые имеют необычно большие тела запросов или типы содержимого, не соответствующие нормальным операциям SharePoint.

Неавторизованные ASPX-файлы: Ищите в общедоступных каталогах SharePoint любые .aspx-файлы, которых не существовало до окна раскрытия уязвимости. Веб-оболочки, внедренные с помощью эксплойта десериализации, обычно появляются в этих местах.

Аномалии учетных данных и учетных записей служб: Проверьте журналы аутентификации на предмет неожиданных входов в систему учетных записей служб, географических аномалий или активности в необычное время.

Временные меры смягчения последствий для организаций, которые не могут немедленно установить исправление

Установка исправлений — единственное полное решение. Организации, чьи процессы управления изменениями или тестирования препятствуют немедленному развертыванию, должны реализовать следующее в качестве временного снижения рисков:

Ограничение доступа участников сайта: Проверьте и ужесточите круг лиц, имеющих разрешения участника сайта. Приостановите учетные записи подрядчиков, бывших сотрудников или партнерских организаций, которым больше не требуется активный доступ.

Сетевая сегментация: Блокируйте прямой доступ из Интернета к серверам SharePoint, где это возможно. Ограничьте доступ доверенными внутренними сетями или аутентифицированными VPN-подключениями.

Правила брандмауэра веб-приложений: Разверните правила, нацеленные на аномальные POST-запросы к конечным точкам десериализации SharePoint.

Смена учетных данных учетных записей служб: Сбросьте пароли для всех идентификаторов пулов приложений SharePoint, учетных записей служб и управляемых учетных записей независимо от того, было ли выявлено компрометация.

Это временные меры — не замена патчу.

SharePoint остается постоянной высокоценной целью

CVE-2026-45659 появляется на фоне задокументированной закономерности. В апреле 2026 года Microsoft устранила другую уязвимость SharePoint, эксплуатируемую как уязвимость нулевого дня. В марте 2026 года CISA предупреждало об активной нацеленности на другую уязвимость SharePoint. В июле 2025 года связанные с Китаем государственные субъекты Linen Typhoon и Violet Typhoon, а также группа, мотивированная финансовой выгодой, занимающаяся программами-вымогателями, Storm-2603, использовали отдельную критическую цепочку уязвимостей SharePoint — цепочку ToolShell — против более чем 150 организаций, включая государственные учреждения и операторов критической инфраструктуры, согласно отчетам Resecurity. Блог безопасности Microsoft содержит подробный анализ этой кампании.

Эта закономерность отражает структурное положение SharePoint в корпоративных сетях. Успешно скомпрометированный сервер SharePoint — это не инцидент с хранением файлов, а точка опоры. Идентификатор службы пула приложений, запускающий код SharePoint, обычно имеет широкий сетевой доступ: к базам данных SQL Server, к Active Directory для предоставления пользователей и во многих развертываниях к учетным записям служб с привилегиями, выходящими далеко за рамки библиотеки документов. Злоумышленники, добившиеся выполнения кода на сервере SharePoint через CVE-2026-45659, наследуют все, к чему этот сервер может получить доступ — а в большинстве корпоративных развертываний это значительно больше, чем просто документы.

Поддержка SharePoint Server 2016 заканчивается через десять дней

Организации, использующие SharePoint Enterprise Server 2016, сталкиваются с дополнительным сроком. Microsoft подтвердила, что расширенная поддержка SharePoint Server 2016 прекращается 14 июля 2026 года — через десять дней с сегодняшнего дня. После этой даты Microsoft больше не будет выпускать обновления безопасности для линейки продуктов 2016 года, что означает, что любая последующая обнаруженная там уязвимость останется навсегда неисправленной в необновленных развертываниях.

Срок устранения неполадок CISA от 4 июля касается конкретно CVE-2026-45659. Срок окончания поддержки — это отдельное и постоянное условие. Организации, все еще использующие SharePoint Server 2016, должны рассматривать оба срока как одновременные факторы, влияющие на решение о миграции.


Часто задаваемые вопросы

Затрагивает ли CVE-2026-45659 SharePoint Online или Microsoft 365?

Нет. Эта уязвимость затрагивает только локальные развертывания SharePoint Server — в частности, SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. Облачный SharePoint Online в Microsoft 365 управляется и обновляется собственной инфраструктурой Microsoft и не затрагивается.

Я применил майское обновление. Защищен ли я?

Проверяйте, а не предполагайте. Проверьте номер сборки фермы с помощью команды Get-SPFarm | Select BuildVersion и сравните его с указанными выше исправленными сборками. CVE-2026-45659 была по ошибке исключена из первоначального бюллетеня безопасности за май, но была устранена теми же пакетами обновлений за май 2026 года. Если ферма использует исправленные сборки, она защищена от этой конкретной уязвимости — но только при условии, что после установки обновления на каждом сервере в ферме были завершены работа мастера настройки продуктов SharePoint и сброс IIS.

Почему CISA классифицировало это как активно эксплуатируемое, если Microsoft заявила, что эксплуатация маловероятна?

Первоначальная оценка Microsoft «эксплуатация маловероятна» отражала технический порог, необходимый на момент раскрытия информации в конце мая. Добавление CISA в список KEV 1 июля означает, что агентство располагает подтвержденными доказательствами того, что эксплуатация происходит в реальных условиях. Эти две оценки не противоречат друг другу: рейтинг Microsoft отражал вероятность эксплуатации на момент раскрытия; список CISA отражает наблюдаемую реальность пять недель спустя. Когда листинг KEV противоречит более ранней оценке поставщика, приоритет устранения определяется листингом KEV.

Что может сделать злоумышленник, получив выполнение кода на сервере SharePoint?

Выполнение кода в рабочем процессе SharePoint предоставляет злоумышленнику тот же сетевой доступ и те же разрешения, что и идентификатор пула приложений. В большинстве развертываний это включает доступ на чтение и запись к базам данных контента SharePoint, доступ к службе администрирования SharePoint и потенциально доступ к другим сетевым ресурсам, до которых может добраться сервер. Действия после эксплуатации в аналогичных инцидентах с SharePoint включали боковое перемещение в Active Directory, эксфильтрацию содержимого библиотек документов, развертывание веб-оболочек для постоянного доступа и, в случаях программ-вымогателей, шифрование хранилища, доступного с сервера.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: