Skip to content
RiverCore
CISA требует устранить уязвимость SharePoint CVE-2026-58644 за 48 часов
SharePoint zero-dayCISA KEVremote code executionSharePoint RCE patch 48 hour deadlineCVE-2026-58644 federal agency patch requirement

CISA требует устранить уязвимость SharePoint CVE-2026-58644 за 48 часов

17 июл 20266 мин. чтенияJames O'Brien

В каждом старом порту есть деревянный причал, который местные латают доску за доской. Корабли всё ещё швартуются, грузы движутся, но каждый зимний шторм вырывает очередную доску — и кто-то снова бежит за гвоздями. SharePoint на собственных серверах — это и есть тот самый причал. Новость четверга — просто очередная выбитая доска.

17 июля 2026 года CISA добавила CVE-2026-58644 — критическую уязвимость удалённого выполнения кода в SharePoint Server — в каталог Known Exploited Vulnerabilities и обязала федеральные гражданские ведомства устранить её до 19 июля. Два дня. Такие сроки устанавливают только тогда, когда вода уже захлёстывает палубу.

Что произошло

Уязвимость получила оценку CVSS 9.8 — выше некуда. Microsoft классифицирует её как критическую ошибку десериализации ненадёжных данных, позволяющую неавторизованному злоумышленнику выполнять произвольный код на SharePoint Server. Формулировка из официального бюллетеня Microsoft, на которую ссылаются в репортажах, говорит прямо: «В сетевой атаке злоумышленник, аутентифицированный хотя бы как владелец сайта, может внедрить и удалённо выполнить произвольный код на SharePoint Server».

Патчи вышли в рамках Patch Tuesday 14 июля 2026 года, однако впоследствии Microsoft скорректировала бюллетень, признав, что уязвимость эксплуатировалась в реальных атаках как zero-day ещё до выхода исправлений, — об этом сообщает The Hacker News. Формулировка «скорректировала бюллетень» несёт в себе куда больше смысла, чем кажется. Это означает, что кто-то уже был внутри, пока защитники ещё не получили уведомления.

Уязвимость затрагивает весь парк локальных версий: SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. CISA также зафиксировала три связанных CVE (CVE-2026-32201, CVE-2026-45659 и CVE-2026-56164) как часть того же кластера активной эксплуатации и предупредила, что сценарий пост-эксплуатации включает кражу машинных ключей IIS и последовательное применение техник десериализации для закрепления в системе и установки вредоносного ПО.

В тот же день CISA добавила в каталог KEV две уязвимости Fortinet FortiSandbox (CVE-2026-25089 и CVE-2026-39808) с тем же федеральным дедлайном — 19 июля. Четверг выдался нелёгким для всех, кто работает в режиме экстренных изменений.

Техническая анатомия

Уязвимости десериализации — это тараканы корпоративной безопасности. Можно травить их годами, а они всё равно будут прятаться за холодильником. Схема всегда одна: какой-то компонент принимает сериализованный блоб (.NET-граф объектов, ViewState-нагрузку, кэшированную ASP.NET-сессию) и восстанавливает его в живые объекты, не проверив должным образом, какой тип собирается инициализировать. Передайте десериализатору цепочку гаджетов — и «загрузить этот объект» превращается в «выполнить этот код» за один шаг.

На SharePoint ситуацию усугубляют машинные ключи IIS. Машинный ключ — это общий секрет, используемый для подписи и шифрования ViewState и других серверных блобов. Любой, кто занимался реагированием на инциденты в ASP.NET-среде, знает эту схему: получив машинный ключ, злоумышленник может подделывать подписанные ViewState-нагрузки по своему усмотрению, отправлять их через парадный вход и попадать в точки десериализации с криптографически валидными, внешне легитимными данными. Именно поэтому описанная CISA пост-эксплуатационная активность сосредоточена на краже машинных ключей. RCE — это способ войти; ключ — это способ остаться.

Описание сложности атаки от Microsoft в контексте CVE-2026-58644 читается как чек-лист для скриптованного эксплойта. Сложность атаки — низкая. Существенных предварительных знаний о системе не требуется. Воспроизводимый успех нагрузки против уязвимого компонента. В переводе с языка CVSS на человеческий: направь инструмент на сервер, получи shell, повтори завтра.

Да, Microsoft указывает, что злоумышленник должен быть «аутентифицирован хотя бы как владелец сайта». Я бы не делал ставку на это как на меру защиты. «Владелец сайта» — не граница безопасности уровня государственных структур. Это роль, которую раздают десятками в большинстве крупных SharePoint-ферм. Если злоумышленник может провести фишинг, перехватить сессию или использовать токен с взломанной конечной точки для доступа к любой учётной записи владельца сайта — требование аутентификации испаряется. Причал остаётся причалом.

Кто пострадает

Федеральные ведомства — очевидная первая жертва, исключительно потому что дедлайн KEV для них юридически обязателен. Два дня на тестирование и развёртывание патча на каждой локальной SharePoint-ферме — это крайне жёсткий срок. Каждый, кто в три часа ночи применял накопительное обновление SharePoint, наблюдал, как задания таймера в Central Administration нехотя возвращались к жизни, и молился, чтобы поисковый индекс не оказался повреждён, знает: это далеко не рутинная работа.

Более широкий круг пострадавших — частный сектор, на который 48-часовой дедлайн не распространяется. Бэк-офисы финансовых организаций, страховые компании, системы здравоохранения и государственные подрядчики по-прежнему хранят огромные объёмы корпоративной памяти на SharePoint 2016 и 2019. В финтехе и iGaming локальный SharePoint зачастую является интранет-слоем, где хранятся процедуры KYC, комплаенс-меморандумы, разборы инцидентов и договоры с поставщиками. Именно тот контент, который злоумышленник хочет прочитать перед тем, как отправить записку о выкупе.

Платёжные платформы и лицензированные операторы в регулируемых отраслях должны быть особенно осторожны. Если SharePoint-ферма находится в том же лесу Active Directory, что и ваша производственная система управления идентификацией (а обычно так и есть), кража машинных ключей в сочетании с боковым перемещением может завершиться атакой Golden SAML или компрометацией всего домена. Сама уязвимость — это проблема SharePoint; инцидент, который она провоцирует, — это инцидент корпоративной идентификации.

Компании из сфер ad-tech и криптовалют, которые давно отказались от локального SharePoint в пользу Google Workspace или Notion, получают редкую спокойную неделю. Всем остальным предстоит авральная работа. В ближайшие 90 дней стоит ожидать медленного потока раскрытий «несанкционированного доступа» от компаний среднего бизнеса, которые установили патч 20 июля или позже и только в сентябре обнаружат, что машинные ключи утекли в начале июля.

Инструкция для команд безопасности

Начните со скучного. Примените обновления Patch Tuesday от 14 июля на каждой ферме SharePoint Subscription Edition, 2019 и 2016, которой вы управляете. Убедитесь, что патч действительно применился — конвейер обновлений SharePoint печально известен состояниями «установлено, но не совсем». После этого считайте систему скомпрометированной до тех пор, пока не докажете обратное.

Список мер по усилению защиты от CISA стоит прочитать полностью, но суть сводится к следующему. Включите интеграцию с Antimalware Scan Interface (AMSI) для каждого веб-приложения SharePoint. Перед ротацией ключей найдите артефакты кражи машинных ключей — ротация украденного ключа без выдворения злоумышленника лишь подскажет ему, как получить новый. Закройте доступ к SharePoint Central Administration из любого интерфейса, доступного из интернета, и заодно задайтесь вопросом: действительно ли фронтенд SharePoint должен быть виден из интернета вообще.

На стороне обнаружения сопоставьте поведение после эксплуатации с техниками MITRE ATT&CK, уже известными вашей SIEM-системе: T1505.003 (веб-шелл), T1552 (незащищённые учётные данные через машинные ключи) и пути выполнения на основе десериализации в рамках T1059. Настройте логирование дочерних процессов w3wp.exe и нетипичных загрузок .NET-сборок внутри пулов приложений SharePoint. Если ваш EDR не сигнализирует о запуске powershell.exe из рабочего процесса IIS — это именно то оповещение, которое нужно настроить сегодня ночью.

И ещё одно. Если вы CTO, который в 2026 году продолжает держать SharePoint на собственных серверах, потому что «миграция — это проект на следующий год», — эта неделя и есть то самое письмо, которое можно положить перед советом директоров. «Следующий год» наступал уже несколько раз.

Ключевые выводы

  • CVE-2026-58644 — это RCE-уязвимость десериализации в SharePoint Server с оценкой CVSS 9.8, эксплуатировавшаяся как zero-day ещё до выхода патча Patch Tuesday 14 июля 2026 года.
  • CISA обязала федеральные ведомства устранить уязвимость до 19 июля 2026 года; в тот же день в каталог KEV были добавлены две уязвимости FortiSandbox (CVE-2026-25089, CVE-2026-39808).
  • Затронуты все поддерживаемые локальные версии SharePoint: Subscription Edition, 2019 и 2016. Использование неподдерживаемой версии не даёт никакого иммунитета.
  • Пост-эксплуатация сосредоточена на краже машинных ключей IIS, а значит, одной установки патча недостаточно для выдворения решительного злоумышленника. Сначала проведите расследование, потом меняйте ключи.
  • Доска продолжает гнить. Если SharePoint по-прежнему является основой вашего интранета в регулируемой отрасли, этот инцидент — ваш повод ускорить разговор о миграции.

Часто задаваемые вопросы

В: Что такое CVE-2026-58644 и почему CISA добавила её в KEV?

CVE-2026-58644 — критическая уязвимость десериализации ненадёжных данных в Microsoft SharePoint Server с оценкой CVSS 9.8, позволяющая выполнять удалённый код. CISA добавила её в каталог Known Exploited Vulnerabilities 17 июля 2026 года после того, как Microsoft подтвердила эксплуатацию уязвимости в реальных атаках как zero-day ещё до выхода патчей.

В: Какие версии SharePoint затронуты и когда федеральные ведомства обязаны установить патч?

Уязвимость затрагивает Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. Федеральные гражданские ведомства были обязаны применить исправления из обновлений Patch Tuesday от 14 июля 2026 года до 19 июля 2026 года.

В: Что должны делать специалисты по безопасности помимо установки патча?

CISA рекомендует включить интеграцию AMSI для каждого веб-приложения SharePoint, найти и удалить инструменты кражи машинных ключей перед их ротацией, заблокировать внешний доступ к SharePoint Central Administration и по возможности исключить прямую доступность SharePoint Server из интернета. Следует считать систему скомпрометированной и провести расследование перед ротацией учётных данных.

JO
James O'Brien
RiverCore Analyst · Dublin, Ireland
ПОДЕЛИТЬСЯ
// ПОХОЖИЕ СТАТЬИ
ГлавнаяРешенияПроектыО насКонтакт
Новости06
Дублин, Ирландия · ЕСGMT+1
LinkedIn
🇷🇺RU