Непачнати сървъри са изложени на риск от пълен компромис без автентикация

Американската агенция CISA предупреждава за активно експлоатирана критична уязвимост в Microsoft SharePoint, която позволява дистанционно изпълнение на код (RCE) без необходимост от автентикация.

Уязвимостта – директен достъп до сървъра

Става въпрос за:

• CVE-2026-20963

Засегнати версии:

• SharePoint Enterprise Server 2016

• SharePoint Server 2019

• SharePoint Server Subscription Edition

Допълнително изложени на риск (без поддръжка):

• SharePoint 2007, 2010, 2013

Причината за уязвимостта:

• Deserialization на недоверени данни

Резултатът – неавтентикиран атакуващ може да изпълни произволен код върху сървъра.

Потвърдена експлоатация в реални атаки

Въпреки че Microsoft все още не е маркирала уязвимостта като активно използвана, CISA:

• я добавя в каталога Known Exploited Vulnerabilities (KEV)

• потвърждава реални атаки в дивата среда

• изисква спешни действия

Краен срок за федералните агенции:

• 21 март 2026 г.

Как работи атаката

Атаката е особено опасна поради:

• Липса на необходимост от автентикация

• Ниска сложност на експлоатация

• Мрежово базирано изпълнение

Сценарий:

1. Изпращане на злонамерени заявки към SharePoint

2. Инжектиране на код чрез уязвима десериализация

3. Изпълнение на команди върху сървъра

Това дава пълен контрол върху системата и потенциален достъп до вътрешната мрежа.

Особен риск за остарели системи

Версиите без поддръжка (2007, 2010, 2013):

• не получават пачове

• остават постоянно уязвими

Това ги прави лесна и постоянна цел за автоматизирани атаки.

 SharePoint като високорисков актив

SharePoint често съдържа:

• Вътрешни документи

• Чувствителни корпоративни данни

• Интеграции с други системи

След компрометиране:

• възможно е lateral movement

• достъп до Active Directory

• пълно компрометиране на организацията

Паралелни заплахи

В същия период CISA издава предупреждение и за:

• XSS уязвимост в Zimbra Collaboration Suite

Това показва – имейл и колаборационните платформи са основен фокус на атакуващите.

Препоръки за защита

Незабавни действия

• Инсталиране на януарския security patch

• Проверка за компрометирани системи

• Изолиране на уязвими сървъри

Стратегически мерки

• Ъпгрейд на остарели версии

• Сегментация на мрежата

• Мониторинг на подозрителна активност

• Прилагане на Zero Trust модел

Атаки срещу доверени платформи

Случаят показва ясно:

• Нападателите таргетират централни корпоративни системи

• Уязвимостите с RCE остават най-опасни

• Времето между пач и експлоатация се скъсява

Ключов извод – дори наличен пач не гарантира защита, ако не бъде приложен навреме.

Прозорецът за реакция се затваря

Уязвимостта в Microsoft SharePoint демонстрира нова динамика:

• атаките започват почти веднага след публикуване на пач

• организациите трябва да реагират в рамките на дни

• забавянето води до директен компромис