Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило критическое предупреждение о том, что серьезная уязвимость в Microsoft SharePoint, изначально исправленная в январе 2026 года, теперь активно эксплуатируется злоумышленниками. Уязвимость, зарегистрированная под идентификатором CVE-2026-20963, затрагивает несколько версий корпоративной платформы для совместной работы, включая SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Эта уязвимость возникает из-за небезопасной десериализации непроверенных данных — распространенного, но опасного недостатка программирования. Согласно первоначальному сообщению Microsoft, сетевой злоумышленник, не прошедший аутентификацию, может использовать эту уязвимость для записи и удаленного выполнения произвольного кода на уязвимых серверах SharePoint, что фактически дает ему полный контроль в рамках так называемых «атак низкой сложности».
В ответ на активную эксплуатацию CISA приняло решительные меры, добавив CVE-2026-20963 в свой каталог известных эксплуатируемых уязвимостей (KEV). Это решение обязывает все федеральные гражданские исполнительные агентства (FCEB) — включая такие ключевые ведомства, как Министерство внутренней безопасности, Министерство энергетики, Министерство юстиции и Государственный департамент — применить доступное обновление безопасности и защитить свои системы к субботе, 21 марта 2026 года. Обязательное оперативное предписание (BOD 22-01) подчеркивает непосредственную угрозу, которую эта уязвимость представляет для федеральных сетей. Примечательно, что хотя Microsoft обновила свое сообщение об этой уязвимости во вторник, предшествующий объявлению CISA, компания еще не официально отметила ее как эксплуатируемую в атаках, что подчеркивает проактивный и безотлагательный характер предупреждения федерального кибербезопасностного агентства.
Эксплуатация этой уязвимости SharePoint происходит на фоне других значительных киберугроз, отраженных в последних отраслевых отчетах. К ним относятся исправление уязвимости ConnectWise ScreenConnect, позволявшей захватывать серверы, появление эксплойта iOS под названием ‘DarkSword’, используемого в кампаниях по кражу информации, и широкомасштабная кампания вредоносного ПО ‘GlassWorm’, затронувшая более 400 репозиториев кода на таких платформах, как GitHub и npm. Активное нацеливание на критически важную корпоративную серверную платформу, такую как SharePoint, подчеркивает постоянную фокусировку злоумышленников на широко используемом бизнес-ПО для получения первоначального доступа, развертывания программ-вымогателей или проведения шпионажа. Организациям за пределами федерального правительства настоятельно рекомендуется рассматривать директиву CISA как критический ориентир и немедленно применять обновления «Патчевого вторника» за январь 2026 года для снижения рисков.
Хотя CISA не раскрыла конкретных деталей относительно характера или масштаба текущих атак, эксплуатирующих CVE-2026-20963, ее включение в каталог KEV является надежным индикатором реальной эксплуатации. Командам безопасности следует в приоритетном порядке провести инвентаризацию и установить заплатки на все экземпляры затронутых серверов SharePoint. Для сред, где немедленная установка исправлений невозможна, критически важной временной мерой смягчения является внедрение строгих сетевых контролей, таких как сегментация серверов SharePoint и ограничение входящего трафика из ненадежных сетей. Этот инцидент служит stark напоминанием о критическом промежутке между доступностью исправления и его широкомасштабной эксплуатацией, подтверждая необходимость наличия надежных, автоматизированных процессов управления обновлениями во всех корпоративных средах.
