SharePoint исправили в мае. CISA говорит, что риск стал реальным сейчас
CVE-2026-45659 показывает, почему authenticated RCE в on-prem SharePoint после подтверждённой эксплуатации превращается из patch ticket в incident-aware response.
Решение CISA от 1 июля добавить CVE-2026-45659 в Known Exploited Vulnerabilities catalog — не повод паниковать каждому пользователю Microsoft 365. Это чёткий сигнал для более узкой группы: организаций, которые всё ещё держат customer-managed, on-premises SharePoint Server. Для них это уже не просто майская заметка о патче, а эксплуатируемая server-side RCE в системе, которая часто стоит рядом с документами, workflow, identity и наследными intranet-приложениями.

Главный урок простой: патч может существовать, но риск ещё не закрыт. Microsoft исправила CVE-2026-45659 в обновлениях May 2026. CISA внесла уязвимость в KEV 1 июля после evidence of active exploitation и дала covered U.S. federal agencies срок до 4 июля. Этот срок уже прошёл, но для частных компаний вопрос остался: знаете ли вы, где ваши on-prem SharePoint farms, на каких они build, видны ли они из интернета и смотрел ли кто-то в логи до установки патча?
Это не история про unauthenticated internet worm. Microsoft описывает уязвимость как требующую аутентификации и low privileges. Это важно. Формулировка должна снижать градус, но не приоритет. В реальном incident response низкопривилегированные аккаунты не редкость: их фишат, покупают из infostealer logs, оставляют подрядчикам, забывают в старых каталогах или годами накапливают через SharePoint site membership. Authenticated RCE в SharePoint — как раз тот тип бага, который превращает маленькую identity-проблему в серверную.
Что произошло простыми словами
CVE-2026-45659 — Microsoft SharePoint Server remote code execution vulnerability из-за deserialization of untrusted data. CVE.org описывает её как CWE-502: authorized attacker can execute code over a network. CVSS 3.1 base score у Microsoft — 8.8: network attack vector, low attack complexity, low privileges required, no user interaction, high impact to confidentiality, integrity and availability.
Граница affected products особенно важна. MSRC перечисляет customer-managed SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016 / SharePoint Server 2016. Fixed builds и KB тоже конкретны: Subscription Edition — 16.0.19725.20280 с KB5002863, SharePoint Server 2019 — 16.0.10417.20128 с KB5002870, SharePoint Enterprise Server 2016 — 16.0.5552.1002 с KB5002868.
SharePoint Online не указан в affected products как customer patching item. Это важный успокаивающий факт. Если организация использует только Microsoft-managed cloud service, задача не такая же, как патчить локальную ферму. Опасная зона — hybrid и legacy middle: старые farms для workflow, архивов, department sites, regulated workloads, custom web parts и миграций, которые никак не закончатся.
CISA KEV меняет приоритет. KEV — это не ещё один список CVSS. Это каталог уязвимостей, которые CISA считает exploited in the wild. По CVE-2026-45659 CISA требует apply mitigations according to vendor instructions, учитывать BOD 26-04 risk-based guidance, forensics triage requirements и internet exposure. Частным организациям юридический срок может не применяться, но сигнал понятный: это уже не теоретический scanner finding.
Неудобная хронология: исправили в мае, срочно стало в июле
Хронология делает эту историю важнее короткой новости. Microsoft выпустила нужные обновления в мае. В MSRC advisory сказано, что CVE-2026-45659 была addressed by May 2026 updates, но CVE was inadvertently omitted from the May 2026 Security Updates; revision от 26 мая была informational change for customers who had already installed the May updates.
Это объясняет, почему patch management не может быть только monthly checklist. Одна команда поставила майские updates и уже закрыта. Другая могла увидеть SharePoint item позже, с exploit code maturity unproven / exploitation less likely, и отправить его в обычное окно обслуживания. Затем CISA KEV меняет картину.
Здесь не нужно искать злой умысел. Vulnerability intelligence меняется. Vendor exploitability assessments — снимок момента. Атакующие проверяют баги. Защитники наблюдают активность. Уязвимость может перейти из “важно, но не горит” в “эксплуатируется и нужно закрыть сейчас” без изменения технического описания.
Для security team KEV status должен запускать re-triage. Если всё уже patched — отлично, документируйте. Если нет — это выше обычного backlog. Если exposure неясен — inventory становится первой срочной задачей. Если неясны и exposure, и patch status — проблема больше одного CVE.
“Authenticated” не значит “можно расслабиться”
Самое частое недопонимание — слово authenticated. Для неспециалиста оно звучит успокаивающе: атакующему нужен аккаунт. Для defender’а в 2026 году это только наполовину утешение. Microsoft пишет, что any authenticated attacker может trigger this vulnerability, admin privileges are not required, а minimum Site Member permissions может быть достаточно.
Это важно, потому что SharePoint permissions часто разрастаются в стороны. Сайты создаются для проектов, партнёров, отделов. Memberships наследуются, копируются, забываются, назначаются широким группам. Подрядчики получают доступ. External collaboration живёт через gateways, VPN или hybrid identity. Service accounts и test users переживают реорганизации. Это не всегда халатность; так стареют collaboration platforms.
Authenticated RCE может стать post-compromise accelerator. Представьте атакующего с одним low-privileged account после phishing или infostealer. Без server-side bug он может прочитать несколько sites или документов. С уязвимой SharePoint farm он может получить code execution on the server, добраться до configuration data, оставить web shell, pivot во внутренние системы или вмешаться в workflows и stored documents.
Правильная реакция — не паника и не отмахивание. Это scoping: есть ли affected SharePoint Server editions, на каких они builds, reachable ли они из internet/partner networks/VPN, не раздуты ли Site Member groups, были ли recent credential theft или suspicious SharePoint anomalies.
Почему SharePoint ценен, хотя выглядит скучно
SharePoint часто воспринимают как старый внутренний портал. Атакующим интереснее то, что за ним стоит: documents, approvals, department workflows, intranet apps, lists, archives и business processes. Он часто связан с Active Directory, service accounts, SQL Server, Office integrations, custom code и backups.
Поэтому on-prem SharePoint farm — crown-jewel adjacent system. Это может быть не domain controller, но там лежат документы о том, как управляется домен. Там могут быть contracts, acquisition plans, IR playbooks, HR documents, board materials, engineering files или credentials в забытых scripts. Компрометированный SharePoint также полезен для phishing и lateral movement, потому что ему доверяют внутренние пользователи.
On-prem особенно сложен из-за customizations. Cloud service патчит provider. Локальная SharePoint farm может иметь custom web parts, старый integration code, хрупкие workflows и maintenance windows, согласованные с бизнесом. Это объясняет медленное patching, но не уменьшает риск active exploitation.
BleepingComputer со ссылкой на Shadowserver писал о more than 10,000 internet-exposed SharePoint servers. Это не число vulnerable или compromised servers. Это exposure signal. Часть серверов patched, часть может быть не affected, часть закрыта дополнительными controls. Но масштаб объясняет, почему attackers продолжают смотреть на этот класс ПО.
KEV превращает ticket в incident-aware patching
Обычный vulnerability ticket спрашивает: update установлен? Exploited vulnerability задаёт ещё вопросы: был ли system reachable до update, пытался ли кто-то exploit, нужна ли forensic review перед закрытием?
Текущий язык CISA KEV прямо указывает на forensics triage и exposure evaluation. Для SharePoint это правильная позиция. Установка update необходима, но может быть недостаточна, если сервер был exposed and unpatched.
Есть две плохие крайности. Первая — считать каждый SharePoint уже скомпрометированным. Это создаёт шум. Вторая — поставить патч и закрыть ticket без проверки, не было ли обращения к серверу до патча. Так можно оставить web shell, suspicious account, altered workflow, scheduled task или persistence.
Практичная середина — разделить ответ по exposure. Internal-only, promptly patched farm без странных логов требует verification and documentation. Internet-exposed farm ниже fixed build требует accelerated patching or isolation plus log review. Farm со suspicious authentication, file changes, process behavior или outbound connections — incident response.
Что проверить без exploit-наводок
Безопасный checklist не требует payloads. Начните с inventory: все SharePoint Server farms, включая старые migration systems, disaster recovery, test environments, partner portals, department-run servers и reverse proxies. Подтвердите edition и build против MSRC fixed builds.
Затем уменьшите exposure. Если farm нельзя сразу patch, isolate it where possible: restrict public access, VPN/trusted network paths, unnecessary inbound routes, проверка reverse proxy/WAF rules. Если сервис не нужен — выключить до update.
После этого ищите misuse. Просмотрите IIS и SharePoint logs за период до patching: unusual authenticated requests, неожиданные upload/script activity, новые или изменённые admin accounts, suspicious site collection changes, unexplained web access, необычное поведение SharePoint worker process, PowerShell activity, unfamiliar scheduled tasks и outbound connections с серверов, которые обычно не должны их инициировать. Используйте vendor/internal detection content, но не выдумывайте IOCs только потому, что CVE попал в новости.
И отдельно проверьте identity. Так как bug требует authentication, recent credential compromise важен. Rotate or disable suspicious accounts. Пересмотрите broad Site Member groups. Уберите stale contractor/test access. Проверьте, не имеют ли service accounts интерактивный доступ без необходимости.
Чего не делать
Не считайте, что SharePoint Online требует такого же customer patching action. MSRC affected list — on-prem SharePoint Server. Cloud service risk нужно отслеживать по guidance Microsoft, а не патчить как локальную ферму.
Не воспринимайте authenticated как reason to wait, если farm internet-exposed или широко доступна через partner/VPN paths. Атакующие всё чаще начинают с identity. Low-privileged account может быть достаточно.
Не публикуйте exploit code, не запускайте случайные proof-of-concept repos в production и не используйте low-signal GitHub repositories как доказательство кампаний. Public checks нашли небольшие repositories с упоминанием CVE-2026-45659, но не надёжную mainstream exploit chain. CISA подтверждает exploitation; этого достаточно для defensive priority.
Не приписывайте CVE ransomware без доказательств. CISA marks ransomware use as unknown. Более широкий SharePoint exploitation встречался в ransomware-related contexts, но reviewed public sources не связывают именно CVE-2026-45659 с named campaign.
Кому действовать сегодня
Самая срочная группа — организации с on-prem SharePoint Server Subscription Edition, SharePoint Server 2019 или SharePoint/SharePoint Enterprise Server 2016 ниже fixed builds, особенно если сервер reachable from internet или broad remote-access environments. Universities, local government, healthcare, manufacturing, regulated businesses, MSP-managed environments и компании со старыми intranet migrations — в зоне внимания.
Вторая группа — те, кто считает, что migrated to cloud, но не decommissioned old farm. Такое часто бывает: read-only archive, old workflow site или temporary migration bridge живут годами. Если у системы нет владельца, её никто не patch быстро.
Третья группа — организации с recent credential theft, suspicious Microsoft identity activity, contractor compromise или infostealer exposure. Для них authenticated SharePoint RCE — possible next step in attack chain, а не просто server patch.
Если on-prem SharePoint нет, урок шире: KEV-driven prioritization лучше, чем сортировка только по CVSS. Urgency решают exposure, exploit evidence, identity reality и business criticality.
Спокойная проверка до конца дня
Если у вас есть on-prem SharePoint, задайте пять вопросов. Первое: есть ли полный inventory SharePoint Server farms, включая old, test, partner и disaster-recovery systems? Второе: все affected systems at fixed builds или имеют relevant May updates? Третье: были ли они internet-facing или broadly reachable до patching? Четвёртое: просмотрены ли logs and account changes за exposure window? Пятое: понятно ли, какие low-privileged users and groups могут authenticate?
Эти вопросы полезнее драматичного заголовка. CVE-2026-45659 серьёзна, потому что находится на пересечении legacy collaboration, identity compromise и slow patching. Это не повод считать каждый SharePoint уже потерянным. Это повод перестать воспринимать старые on-prem collaboration servers как фон.
Практическая безопасность в 2026 году — это не одинаковая реакция на все high CVSS bugs. Exploited vulnerabilities на business-critical, identity-connected systems требуют быстрого цикла: inventory, patch or isolate, compromise check, privilege reduction and documented closure. SharePoint знаком и скучен. Именно поэтому он не должен быть невидимым.
Comments
Sign in to comment.
No comments yet.