Cybersec NewsУязивмости, експлойти, ъпдейти

Критична RCE уязвимост в SharePoint Server вече се експлоатира без автентикация

Знаем, че локалният (on-prem) SharePoint е сравнително рядко срещан в наши дни – повечето организации отдавна са преминали към SharePoint Online чрез Microsoft 365, който не е засегнат от CVE-2026-20963. Но ако вие или някой от Вашите бизнес партньори все още използва SharePoint Server, тази уязвимост изисква вашето незабавно внимание.

CVE-2026-20963 е критична уязвимост при десериализация в SharePoint, която позволява на неавтентифицирани атакуващи да изпълняват код от разстояние без никакво взаимодействие с потребителя. Това, което се промени – ситуацията се влоши допълнително: експлоатацията вече не изисква никакви идентификационни данни.

Засегнати са SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Уязвимостта съществува и в SharePoint 2007, 2010 и 2013, които са End-of-Life и няма да получат обновления.

CISA добави уязвимостта в каталога си с известни експлоатирани уязвимости и нареди на федералните граждански агенции в САЩ да я отстранят до 21 март. Времето тече и за всички останали.

Какво да направите веднага:

  • Инсталирайте кръпката незабавно. За SharePoint Server 2019 поправката е включена в актуализацията за сигурност от 13 януари 2026 г. (KB5002825), достъпна чрез Microsoft Update и каталога с актуализации.
  • Първо проверете версията си с помощта на скенера: Get-SPVersionInfo.ps1
  • Ограничете достъпа. Ако не можете да инсталирате кръпката веднага, изключете сървъра от интернет – поставете го зад VPN, WAF или ограничете достъпа само до доверени IP адреси.
  • Използвате версии с изтекъл срок на поддръжка (2007/2010/2013)? Кръпка няма да излезе. Изолирайте, ограничете достъпа и планирайте спешно извеждане от употреба.
  • Проверете за компрометиране. Търсете неочаквани .aspx файлове в директориите на SharePoint и необичайни подпроцеси на exe.

Ако използвате Microsoft 365 / SharePoint Online – всичко е наред, няма какво да правите тук.

Ако не сте сигурни дали във вашата среда съществуват инстанции на SharePoint Server, сега е подходящ момент да попитате. Shadow IT и забравените локални сървъри са точно от типа неща, които се озовават в докладите за инциденти.

 

Покажи още
Back to top button