SharePoint RCE: низкие права не спасают

Microsoft закрыла CVE-2026-45659 в SharePoint Server: для сетевой RCE достаточно учетной записи Site Member.

2026-05-27 GIGATAP Team #security
#SharePoint#Microsoft#RCE

Источник: The Hacker News — https://thehackernews.com/2026/05/microsoft-patches-sharepoint-rce-flaw.html

Microsoft выпустила исправление для CVE-2026-45659 — уязвимости удаленного выполнения кода в SharePoint Server. По данным компании, атакующий с учетной записью и минимальными правами Site Member может использовать ее по сети.

Microsoft оценивает проблему как Important, CVSS — 8.8. Компания считает эксплуатацию «less likely», но это не повод откладывать обновление для открытых или широко используемых установок SharePoint. Порог прав низкий, цель обычно важная, а SharePoint уже не раз становился удобной инфраструктурой для атакующих, когда появлялся рабочий путь эксплуатации.

Что исправила Microsoft#

CVE-2026-45659 описана Microsoft как ошибка десериализации недоверенных данных в Microsoft Office SharePoint. Практический риск не сводится к компрометации приложения: Microsoft прямо указывает, что авторизованный атакующий может удаленно выполнить код на SharePoint Server.

Формулировка в бюллетене важна. Microsoft пишет, что уязвимость можно задействовать в сетевой атаке с учетной записью, у которой есть минимальные права Site Member. Права администратора или другие повышенные привилегии не нужны.

Из-за этого уязвимость отличается от багов, где требуется привилегированная роль в SharePoint, локальный доступ или особая конфигурация. В зависимости от среды и наличия патча уязвимому серверу может хватить скомпрометированной учетной записи с низкими правами, чтобы начать цепочку атаки.

Microsoft поблагодарила исследователя MEOW за обнаружение и сообщение об уязвимости.

Затронутые версии и объем обновления#

По данным The Hacker News, Microsoft выпустила обновления для:

  • SharePoint Server Subscription Edition
  • SharePoint Enterprise Server 2016

Организациям с этими версиями стоит считать обновление серверным приоритетом, особенно если SharePoint доступен из широких внутренних сетей, через партнерские каналы, для VPN-пользователей или из интернета.

В исходном материале не сказано, что затронут SharePoint Server 2019, не приведены номера сборок, нет эксплуатационного кода, индикаторов компрометации или телеметрии активных атак. Эти ограничения важны. Речь о патче с заметным риском, а не о подтвержденной массовой эксплуатации.

Почему это важно даже без активных атак#

Аутентифицированные RCE часто попадают в неприятную серую зону. Они не выглядят так же срочно, как неаутентифицированные баги на публичных сервисах, но и безопасными их назвать нельзя.

SharePoint обычно хранит документы, рабочие процессы, внутренние списки, права, привязанные к учетным записям, и интеграции с остальной средой Microsoft. Возможность удаленно выполнить код на сервере может стать точкой для дальнейшего продвижения, а не просто проблемой доступа к данным.

Ключевая деталь — низкий уровень нужных прав. Во многих организациях Site Member есть у большого числа сотрудников из разных отделов, подрядчиков и участников проектных пространств. Если одну такую учетную запись украдут через фишинг, найдут в логах инфостилера или ею злоупотребит инсайдер, уязвимость может дать атакующему куда более сильную позицию, чем должна давать сама учетная запись.

Поэтому слово «аутентифицированный» не стоит читать как «низкий риск». В корпоративных сетях валидные учетные данные — один из самых частых активов атакующих.

Чего не стоит утверждать#

В предоставленном источнике нет заявления, что CVE-2026-45659 уже эксплуатируют в реальных атаках. Microsoft, по сообщениям, считает эксплуатацию менее вероятной. Это важно учитывать при оценке риска.

Это также не та же уязвимость, что SharePoint spoofing, которую Microsoft исправила в прошлом месяце. The Hacker News указывает для нее CVE-2026-45660, CVSS 6.5, и отмечает, что она уже эксплуатировалась в реальных атаках. Сравнение полезно только как контекст: уязвимости SharePoint стабильно интересуют атакующих. Оно не доказывает, что новая RCE уже используется.

Более аккуратный вывод такой: Microsoft закрыла высокооцененную RCE в SharePoint, доступную аутентифицированным пользователям с низкими правами, и организациям стоит обновиться до того, как интерес атакующих догонит патч.

Практические проверки для защитников#

Сначала установите патч. Если в организации используются затронутые версии SharePoint, это самое простое и полезное действие.

После этого проверьте модель доступности. SharePoint-сервер, открытый в интернет, доступный большой группе VPN-пользователей или широкому кругу партнеров, требует более быстрой реакции, чем жестко сегментированный внутренний экземпляр с ограниченным числом пользователей. Патчить нужно оба варианта, но порядок важен, когда у команды одновременно слишком много исправлений.

Командам безопасности стоит проверить:

  • какие версии SharePoint Server развернуты
  • активны ли системы на Subscription Edition или SharePoint Enterprise Server 2016
  • доступны ли эти системы из интернета или из сетей удаленного доступа
  • сколько пользователей с низкими правами Site Member есть на чувствительных сайтах
  • показывают ли недавние логи аутентификации необычный доступ из новых стран, с новых устройств или паттерны impossible travel
  • есть ли в серверных логах аномальные запросы от обычных учетных записей Site Member после выхода патча

Источник не дает известных индикаторов, поэтому не стоит имитировать точность. Начните с паттернов доступа, поведения учетных записей, серверных аномалий и проверки, что патч действительно установлен.

Настоящий риск — расползание прав#

Технически уязвимость связана с десериализацией. Корпоративный риск — в разрастании прав.

Среды SharePoint часто стареют плохо. Сайты множатся. Группы участников переживают завершенные проекты. Подрядчики остаются в списках доступа. Внутренние пользователи накапливают разрешения, потому что забрать доступ организационно сложнее, чем выдать.

Уязвимость, которой достаточно прав Site Member, попадает прямо в это слабое место. Атакующему не нужна самая привилегированная учетная запись в компании. Ему нужна одна полезная учетная запись в подходящем месте и уязвимый сервер.

Именно в этом практический урок CVE-2026-45659. Закройте баг, но заодно посмотрите на радиус поражения, который создают обычные членства в SharePoint. Низкие права означают низкий риск только тогда, когда платформа действительно ставит за ними жесткую границу.