Критична уязвимост в широко използвана корпоративна платформа

Повече от 1 300 публично достъпни сървъра на Microsoft SharePoint остават непачнати срещу сериозна spoofing уязвимост, която вече е била използвана като zero-day в реални атаки.

Проблемът е идентифициран като CVE-2026-32201 и засяга:

• SharePoint Server 2016
• SharePoint Server 2019
• SharePoint Server Subscription Edition

Какво позволява уязвимостта?

Според Microsoft, успешната експлоатация позволява на нападател без автентикация да извършва мрежово spoofing чрез неправилна валидация на входни данни.

Възможните последици включват:

• достъп до чувствителна информация (нарушение на конфиденциалността)
• модификация на данни (нарушение на интегритета)
• без възможност за директно спиране на услугата (липса на ефект върху наличността)

Уязвимостта се класифицира като ниско сложна за експлоатация и не изисква взаимодействие с потребителя.

Масов проблем: хиляди сървъри без защита

Организацията Shadowserver Foundation съобщава, че:

• над 1 300 сървъра са изложени онлайн
• по-малко от 200 са получили актуализация след публикуването на пача
• голяма част от системите остават публично достъпни

Това създава значителна атакуваема повърхност за киберпрестъпници и държавно спонсорирани групи.

Реакция на CISA: спешни срокове и задължителни мерки

Американската агенция CISA добави CVE-2026-32201 към своя каталог Known Exploited Vulnerabilities (KEV).

С това федералните агенции са задължени да:

• приложат пачове в рамките на 2 седмици
• спазват директивата BOD 22-01
• или да прекратят използването на засегнатия продукт при липса на защита

CISA предупреди, че подобни уязвимости:

„се използват често от злонамерени хакери и представляват сериозен риск за федералните системи“

Zero-day експлоатация в реални атаки

Microsoft потвърди, че уязвимостта е била използвана като zero-day, но:

• не е разкрит конкретен нападател
• не е свързана с конкретна хакерска група
• няма публични детайли за първоначалния вектор на атака

Това оставя сериозна неизвестност относно мащаба и целите на кампаниите.

Не единствената критична уязвимост

Само седмица преди това CISA предупреди и за друга активно експлоатирана уязвимост в Windows Task Host, която позволява:

• ескалация на привилегии
• достигане до SYSTEM ниво достъп

Това показва по-широка тенденция: ускорено използване на Windows екосистемни слабости в реални атаки.

Масивен Patch Tuesday: 167 уязвимости

На 14 април 2026 г. Microsoft публикува обновления за:

• 167 уязвимости
• включително 2 zero-day експлойти

Това подчертава нарастващата сложност и честота на откриване на критични проблеми в корпоративния софтуер.

Какво означава това за организациите

Ситуацията около SharePoint показва три основни риска:

1. Бавна реакция на пачовете

• хиляди системи остават уязвими дори след публични предупреждения

2. Широка експозиция онлайн

• публично достъпни сървъри увеличават атакуемата повърхност

3. Zero-day риск

• активна експлоатация преди масово прилагане на защити

Инцидентът с CVE-2026-32201 демонстрира класическия проблем в корпоративната сигурност:
дори след наличен пач, реалната защита зависи от това дали той е приложен навреме.

Докато хиляди Microsoft SharePoint сървъри остават непачнати, атакуващите продължават да имат широко отворена врата към чувствителни корпоративни данни.