Утром администратор открывает журнал обновлений и видит внеплановый патч от Microsoft. Речь идет не о косметической правке, а о дыре в SharePoint Server, через которую злоумышленник с минимальными правами может запустить код на сервере. Для корпоративной среды это плохой сценарий: дальше под ударом оказываются документы, учетные записи и смежные сервисы.

История инцидента

Microsoft закрыла уязвимость CVE-2026-45659 в SharePoint Server и оценила риск в 8,8 балла по шкале CVSS. Проблема затрагивает SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016.

По описанию инженеров компании, баг связан с десериализацией недоверенных данных. Это значит, что сервер принимает и обрабатывает специально подготовленный объект так, как будто ему можно доверять, а затем исполняет чужой код.

Самое неприятное в этой истории — низкий порог входа. Для атаки достаточно аутентифицированной учетной записи уровня Site Member, то есть без админских прав и без сложной подготовки. Microsoft отдельно отмечает, что для эксплуатации не нужно убеждать пользователя что-то открыть или нажимать.

Что пошло не так в защите

Слабое место здесь не в одном неудачном параметре, а в самой логике обработки данных. Когда сервер доверяет входящему содержимому больше, чем должен, атакующий получает шанс превратить обычный запрос в удаленное выполнение кода.

Для администраторов это напоминание о простой вещи: внутренний пользователь — не всегда безопасный пользователь. Если у него есть только базовый доступ, это еще не значит, что риск нулевой. В корпоративных системах именно такие учетные записи часто становятся стартовой точкой для атаки.

SharePoint особенно интересен злоумышленникам, потому что через него проходят внутренние документы, проектные файлы и переписка. Платформа часто связана с другими сервисами Microsoft, а значит, один удачный вход может открыть дорогу дальше по сети. О том, как похожие цепочки разворачиваются в реальных атаках, мы уже писали в разборе как атака на KnowledgeDeliver вскрыла риск старых ключей ASP.NET.

Отдельный сигнал тревоги — внеплановый выпуск патча. Когда компания не ждет стандартного цикла обновлений, ИБ-команды обычно трактуют это как признак высокого риска. В похожих историях задержка с установкой обновлений уже стоила компаниям дорогого времени на реагирование, как в случае с Megalodon ударил по GitHub: чем опасна атака на репозитории.

Уроки для читателя

Первый урок — не хранить SharePoint сервер «нараспашку» в интернете. Если веб-интерфейс нужен только сотрудникам, доступ к нему должен идти через корпоративные каналы и ограничения по IP, а не через свободный вход с любой точки сети.

Второй урок — следить не только за внешним периметром, но и за правами внутри. Многие компании уделяют внимание сложным паролям и двухфакторной аутентификации, но забывают про рольовые настройки, устаревшие группы и лишние доступы. Именно они превращают обычную учетную запись в удобную стартовую площадку для атаки.

Третий урок — обновления нельзя откладывать «на потом». В этой истории Microsoft уже выпустила патч, и промедление играет против администратора. Чем дольше сервер работает без исправления, тем больше шансов, что уязвимость начнут проверять не только лаборатории, но и реальные атакующие.

Для домашнего пользователя эта новость тоже полезна: корпоративные провалы часто начинаются с банальной привычки игнорировать обновления. То же правило работает и для браузеров, и для почты, и для любых сервисов, где хранятся данные бизнеса.

Практические выводы и чек-лист

Если у вас есть SharePoint Server или вы отвечаете за инфраструктуру с ним, проверьте систему прямо сейчас. Если сервера нет, но вы администрируете корпоративную сеть, используйте этот случай как повод пересмотреть базовую гигиену обновлений и доступов.

В открытых точках доступа и в дороге полезно отдельно подумать о том, какие данные вообще уходят в сеть. Для таких сценариев пригодится инструмент для приватной работы с публичным Wi‑Fi, особенно если сотрудник подключается из аэропорта, кафе или поезда и заходит в рабочие сервисы.

Установите внеплановые обновления Microsoft для SharePoint Server без задержки.
Проверьте, не доступен ли SharePoint напрямую из интернета.
Ограничьте доступ к серверу по IP, сегментам сети и корпоративным каналам.
Пересмотрите права обычных учетных записей и уберите лишние роли.
Проверьте журналы на подозрительные запросы к SharePoint и аномальную активность.
Убедитесь, что резервные копии свежие и восстанавливаются без ошибок.
Напомните сотрудникам не работать с внутренними сервисами из случайных открытых сетей без дополнительной защиты соединения.
Следите за внеплановыми патчами: это часто первый сигнал, что уязвимость уже считают опасной.