Skip to content
RiverCore
CISA Оголошує SharePoint Zero-Day CVE-2026-58644 з 48-Годинним Вікном для Патчу
SharePoint zero-dayCISA KEVremote code executionSharePoint RCE patch 48 hour deadlineCVE-2026-58644 federal agency patch requirement

CISA Оголошує SharePoint Zero-Day CVE-2026-58644 з 48-Годинним Вікном для Патчу

17 лип 20266 хв. читанняJames O'Brien

У кожному старому порту є той дерев'яний пірс, який місцеві постійно латають дошка за дошкою. Кораблі причалюють, вантажі рухаються, але кожна зимова буря вириває чергову дошку — і хтось біжить по цвяхи. SharePoint на власних серверах — це і є той пірс. Новина четверга — лише чергова відсутня дошка.

17 липня 2026 року CISA додала CVE-2026-58644 — критичну вразливість віддаленого виконання коду в SharePoint Server — до каталогу Known Exploited Vulnerabilities і поставила федеральним цивільним агентствам дедлайн до 19 липня. Два дні. Такий строк ставлять лише тоді, коли вода вже перекочується через дошки.

Що Сталося

Вразливість отримала оцінку CVSS 9.8 — це майже максимум за шкалою. Microsoft класифікує її як критичну вразливість десеріалізації ненадійних даних, яка дозволяє неавторизованому зловмиснику виконувати довільний код на SharePoint Server. У власному бюлетені Redmond це сформульовано чітко: «У мережевій атаці зловмисник, автентифікований як мінімум як власник сайту, може записувати довільний код для його віддаленого виконання на SharePoint Server».

Патчі вийшли в рамках Patch Tuesday 14 липня 2026 року, однак пізніше Microsoft переглянула бюлетень і визнала, що вразливість використовувалась у реальних атаках як zero-day ще до виходу виправлень, як повідомляє The Hacker News. Фраза «переглянула бюлетень» несе в собі багато. Вона означає, що хтось вже проник всередину до того, як захисники отримали попередження.

Під удар потрапила вся лінійка on-prem рішень: SharePoint Server Subscription Edition, SharePoint Server 2019 та SharePoint Enterprise Server 2016. CISA також додала три суміжні CVE (CVE-2026-32201, CVE-2026-45659 та CVE-2026-56164) як частину тієї ж кластерної активної експлуатації і попередила, що сценарій після проникнення включає крадіжку IIS machine keys та подальше ланцюгування прийомів десеріалізації для закріплення і розгортання шкідливого ПЗ.

На додачу CISA того ж дня додала до каталогу KEV дві вразливості Fortinet FortiSandbox (CVE-2026-25089 та CVE-2026-39808) з тим самим федеральним дедлайном 19 липня. Четвер не видався тихим для нікого, хто відкриває аварійні вікна змін.

Технічна Анатомія

Вразливості десеріалізації — це таргани корпоративної безпеки. Можна боротися з ними десять років, і вони все одно ховатимуться за холодильником. Схема незмінна: якийсь компонент приймає серіалізований блоб (граф .NET-об'єктів, ViewState-навантаження, кешовану ASP.NET-сесію) і відновлює його в живі об'єкти без належної перевірки типу, який збирається інстанціювати. Підкинь десеріалізатору гаджет-ланцюжок — і «завантаж цей об'єкт» перетворюється на «виконай цей код» за один крок.

На SharePoint ця схема ускладнюється IIS machine keys. Machine key — це спільний секрет для підпису та шифрування ViewState та інших серверних блобів. Кожен, хто займався реагуванням на інциденти на ASP.NET-серверах, знає цю схему: щойно зловмисник заволодів machine key, він може довільно підробляти підписані ViewState-навантаження, подавати їх через «парадний вхід» і звертатися до десеріалізаційних точок з легітимно виглядаючим, криптографічно валідним введенням. Саме тому постексплуатаційна активність, описана CISA, зосереджена навколо збору machine keys. RCE — це шлях всередину; key — це спосіб залишитися.

Власні примітки Microsoft щодо складності атаки на CVE-2026-58644 читаються як чекліст для скриптованого експлойту. Складність атаки — низька. Суттєвих попередніх знань про систему не потрібно. Повторюваний успіх навантаження проти вразливого компонента. Якщо перекласти з CVSS-мови на просту: наведи інструмент на сервер, отримай shell, повтори завтра.

Так, у формулюванні Microsoft йдеться, що зловмисник має бути «автентифікований як мінімум як власник сайту». Не варто покладатися на це як на засіб захисту. «Власник сайту» — це не межа довіри рівня національних спецслужб. Це роль, яку роздають десятками у більшості великих SharePoint-ферм, і якщо зловмисник може провести фішинг, перехопити сесію або скористатися токеном зі скомпрометованого пристрою для доступу до будь-якого облікового запису власника сайту — вимога автентифікації зникає. Пірс залишається пірсом.

Хто Постраждає

Федеральні агентства — очевидна перша жертва, суто тому, що дедлайн KEV для них юридично обов'язковий. Два дні на тестування і розгортання патча на кожній on-prem SharePoint-фермі — це не комфортний інтервал. Кожен, хто о третій ночі застосовував кумулятивне оновлення SharePoint, спостерігав, як таймерні завдання Central Administration насилу повертаються до життя, і молився, щоб пошуковий індекс не зіпсувався, знає: це не рутинна робота.

Більший радіус ураження — у приватному секторі, де немає аналогічного 48-годинного зворотного відліку. Бек-офіси фінансових служб, страхові компанії, системи охорони здоров'я та підрядники уряду досі зберігають величезні обсяги інституційної пам'яті на SharePoint 2016 та 2019. У fintech та iGaming on-prem SharePoint часто є інтранет-шаром, де зберігаються процедури KYC, комплаєнс-меморандуми, постмортеми інцидентів і контракти з постачальниками. Саме такий контент зловмисник прагне прочитати до того, як з'явиться записка з вимогою викупу.

Платіжні платформи та ліцензовані оператори у регульованих галузях мають бути особливо насторожі. Якщо SharePoint-ферма перебуває в тому самому лісі Active Directory, що і ваш виробничий ідентифікаційний рівень (а зазвичай так і є), крадіжка machine key плюс горизонтальне переміщення можуть завершитися Golden SAML або компрометацією всього домену. Сама по собі вразливість — це баг SharePoint; інцидент, який вона провокує, — це інцидент корпоративної ідентифікації.

Ad-tech та крипто-компанії, що роками тому відмовились від on-prem SharePoint на користь Google Workspace або Notion, отримують рідкісний спокійний тиждень. Всі інші — метушню. Очікуйте, що наступні 90 днів принесуть повільний потік розкриттів «несанкціонованого доступу» від середніх компаній, які встановили патч 20 липня або пізніше і лише у вересні виявлять, що machine keys пішли «гуляти» ще на початку липня.

Інструкція для Команд Безпеки

Почніть зі скучного. Застосуйте оновлення Patch Tuesday від 14 липня на кожній SharePoint Subscription Edition, 2019 та 2016 фермі, якою ви керуєте. Перевірте, що патч дійсно встановлено, адже конвеєр оновлень SharePoint має довгу історію станів «встановлено, але насправді ні». Потім вважайте систему скомпрометованою, доки не доведете протилежне.

Список рекомендацій CISA варто прочитати повністю, але суть така. Увімкніть інтеграцію Antimalware Scan Interface (AMSI) для кожного веб-застосунку SharePoint. Виявіть артефакти збору machine key перед їх ротацією, адже ротація вкраденого ключа без виселення зловмисника лише сигналізує йому захопити новий. Перенесіть SharePoint Central Administration з будь-якого інтерфейсу, доступного з інтернету, і заодно поставте під сумнів, чи взагалі потрібно SharePoint front-end бути доступним з інтернету.

На стороні виявлення — зіставте постексплуатаційну поведінку з технікам MITRE ATT&CK, які вже знає ваш SIEM: T1505.003 (web shell), T1552 (незахищені облікові дані через machine keys) та шляхи виконання через десеріалізацію в рамках T1059. Налаштуйте логування дочірніх процесів w3wp.exe та незвичних завантажень .NET-збірок у пулах застосунків SharePoint. Якщо ваш EDR не кричить, коли powershell.exe породжується з IIS-воркер-процесу, — саме цей алерт потрібно побудувати сьогодні вночі.

Ще одне. Якщо ви CTO, який досі у 2026 році тримає SharePoint on-prem, тому що «міграція — це проєкт на наступний рік», — ця тиждень і є тим меморандумом, яким можна потрясти перед радою директорів. «Наступний рік» настав вже кілька разів.

Ключові Висновки

  • CVE-2026-58644 — це RCE-вразливість десеріалізації з CVSS 9.8 у SharePoint Server, яка експлуатувалась як zero-day до виходу виправлення Patch Tuesday 14 липня 2026 року.
  • CISA дала федеральним агентствам час до 19 липня 2026 року на встановлення патча, разом з двома вразливостями FortiSandbox (CVE-2026-25089, CVE-2026-39808), доданими до KEV того ж дня.
  • Вразливість зачіпає всі підтримувані on-prem версії SharePoint: Subscription Edition, 2019 та 2016. Шляху відступу через непідтримувану версію немає.
  • Постексплуатація зосереджена на крадіжці IIS machine keys, а це означає, що встановлення патча само по собі не виганяє рішучого зловмисника. Шукайте сліди перед ротацією.
  • Дошка продовжує гнити. Якщо SharePoint досі є вашим інтранет-хребтом у регульованій галузі, цей інцидент — ваш привід прискорити розмову про міграцію.

Часті Запитання

Q: Що таке CVE-2026-58644 і чому CISA додала її до KEV?

CVE-2026-58644 — це критична вразливість десеріалізації ненадійних даних у Microsoft SharePoint Server з оцінкою CVSS 9.8, яка дозволяє віддалене виконання коду. CISA додала її до каталогу Known Exploited Vulnerabilities 17 липня 2026 року після того, як Microsoft підтвердила факт реальної експлуатації вразливості як zero-day до виходу патчів.

Q: Які версії SharePoint вразливі і до якого терміну федеральні агентства мають встановити патч?

Вразливість стосується Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 та SharePoint Enterprise Server 2016. Федеральні цивільні агентства були зобов'язані застосувати виправлення, випущені в рамках Patch Tuesday 14 липня 2026 року, до 19 липня 2026 року.

Q: Що мають зробити захисники окрім встановлення патча?

CISA рекомендує увімкнути інтеграцію AMSI для кожного веб-застосунку SharePoint, перевірити наявність і видалити інструменти збору machine keys перед їх ротацією, заблокувати зовнішній доступ до SharePoint Central Administration та уникати прямого виходу SharePoint Server в інтернет там, де це можливо. Вважайте систему скомпрометованою і шукайте постексплуатаційні артефакти до ротації облікових даних.

JO
James O'Brien
RiverCore Analyst · Dublin, Ireland
ПОДІЛИТИСЯ
// СХОЖІ СТАТТІ
ГоловнаРішенняПроєктиПро насКонтакт
Новини06
Дублін, Ірландія · ЄСGMT+1
LinkedIn
🇺🇦UK