Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

SharePoint zero-day под активен напад – Microsoft издаде итни безбедносни ажурирања

Објавено: 15.04.2026

Microsoft во вторник објави ажурирања за да адресира рекордни 169 безбедносни пропусти низ својот портфолио на производи, вклучувајќи една ранливост која активно се експлоатира во реални напади.

Од овие 169 ранливости, 157 се оценети како „Important“, осум како „Critical“, три како „Moderate“, а една како „Low“ по сериозност. Деведесет и три од пропустите се класифицирани како ескалација на привилегии, по што следуваат 21 за откривање информации, 21 за далечинско извршување код, 14 за заобиколување на безбедносни функции, 10 за лажирање (spoofing) и девет ранливости за одбивање на услуга (denial-of-service).

Исто така, меѓу овие 169 пропусти се вклучени и четири CVE записи кои не се од Microsoft, а кои влијаат на AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) и Git за Windows (CVE-2026-32631). Ажурирањата се дополнение на 78 ранливости кои беа поправени во Edge прелистувачот базиран на Chromium од последното ажурирање објавено минатиот месец.

Ова издание е вториот најголем „Patch Tuesday“ досега, нешто помалку од рекордот поставен во октомври 2025 година, кога Microsoft поправи 183 безбедносни пропусти. „Со ова темпо, 2026 година ќе потврди дека 1.000+ CVE записи годишно за Patch Tuesday се норма,“ изјави Сатнам Наранг, виш истражувачки инженер во Tenable. „Не само тоа, туку грешките за ескалација на привилегии продолжуваат да доминираат во последните осум месеци, со рекордни 57% од сите CVE закрпени во април, додека ранливостите за далечинско извршување код (RCE) паднаа на само 12%, исто колку и ранливостите за откривање информации овој месец.“

Ранливоста која е под активно експлоатирање е CVE-2026-32201 (CVSS оценка: 6.5), ранливост од тип spoofing која влијае на Microsoft SharePoint Server.

„Неправилна валидација на влезни податоци во Microsoft Office SharePoint им овозможува на неовластени напаѓачи да извршат spoofing преку мрежата,“ соопшти Microsoft во известување. „Напаѓач кој успешно ќе ја искористи ранливоста може да прегледа чувствителни информации (доверливост), да прави измени на објавените информации (интегритет), но не може да ја ограничи достапноста на ресурсите (достапност).“

Иако ранливоста е интерно откриена, засега не е познато како точно се експлоатира, ниту кој стои зад активноста и колкав е обемот на нападите.

„Оваа zero-day ранливост во Microsoft SharePoint Server е предизвикана од неправилна валидација на влезни податоци, што им овозможува на напаѓачите да лажираат доверлива содржина или интерфејси преку мрежата,“ изјави Мајк Волтерс, претседател и ко-основач на Action1.

„Со искористување на оваа слабост, напаѓач може да манипулира со начинот на кој информациите им се прикажуваат на корисниците, потенцијално да ги измами да ѝ веруваат на злонамерна содржина. Иако директното влијание врз податоците е ограничено, способноста за измама на корисници ја прави оваа ранливост моќна алатка за пошироки напади.“

Активната експлоатација на CVE-2026-32201 ја поттикна американската агенција за кибербезбедност CISA да ја додаде во каталогот Known Exploited Vulnerabilities (KEV), со што федералните цивилни агенции мора да го отстранат пропустот до 28 април 2026 година.

Друга значајна ранливост е пропуст за ескалација на привилегии во Microsoft Defender (CVE-2026-33825, CVSS 7.8), кој е означен како јавно познат во моментот на објавување. Според Microsoft, ранливоста може да дозволи локален напаѓач да ги зголеми своите привилегии преку недостаток на доволно грануларни контроли за пристап во Defender.

Microsoft наведува дека не е потребна акција од корисникот за инсталација на закрпата за CVE-2026-33825, бидејќи платформата се ажурира автоматски по подразбирање. Системи на кои Microsoft Defender е исклучен не се во состојба на експлоатација.

Иако во официјалните известувања на Microsoft не се споменува јавно достапен експлоит код, се смета дека закрпата решава zero-day познат како „BlueHammer“, кој бил објавен на GitHub на 3 април 2026 година од незадоволен безбедносен истражувач под псевдонимот „Chaotic Eclipse“, по конфликт околу процесот на одговорно откривање на ранливости. Во моментот на пишување, пристапот до јавниот репозиториум бара најавување на GitHub.

Според Cyderes, ранливоста го злоупотребува процесот на ажурирање на Microsoft Defender преку Volume Shadow Copy, за да се ескалира привилегија од низок корисник до NT AUTHORITY\SYSTEM.

„За време на одредени процеси на ажурирање и поправка, Defender создава привремена Volume Shadow Copy снимка,“ објаснуваат истражувачите Рахул Рамеш и Ригун Џајапаул. „BlueHammer користи Cloud Files callbacks и oplocks за да го паузира Defender во точно одреден момент, оставајќи ја снимката монтирана и овозможувајќи пристап до SAM, SYSTEM и SECURITY registry hive-овите – датотеки кои нормално се заклучени.“

„Успешна експлоатација овозможува напаѓачот да ја прочита SAM базата, да ги декриптира NTLM хешовите, да преземе локален администраторски акаунт и да добие SYSTEM shell, сè додека ги враќа оригиналните хеш вредности за да избегне детекција.“

Безбедносниот истражувач Вил Дорман потврди на Mastodon дека BlueHammer експлоитот повеќе не функционира и „изгледа е поправен со CVE-2026-33825“, иако „некои сомнителни делови од експлоитот сè уште работат“.

Една од најсериозните ранливости е далечинско извршување код во Windows Internet Key Exchange (IKE) Service Extensions. Означена како CVE-2026-33824, оваа ранливост има CVSS оценка 9.8 од 10.

„За експлоатација, напаѓач мора да испрати специјално креирани пакети до Windows машина со овозможен IKE v2, што може да овозможи далечинско извршување код,“ изјави Адам Барнет, водечки софтверски инженер во Rapid7.

„Ранливости кои водат до неавтентицирано RCE на модерни Windows системи се релативно ретки. Но бидејќи IKE служи за VPN/IPsec тунели, тој е изложен на непоуздани мрежи и достапен пред автентикација.“

Волтерс истакна дека оваа ранливост претставува сериозна закана за корпоративни средини, особено оние кои се потпираат на VPN или IPsec за безбедни комуникации. Успешна експлоатација може да доведе до целосно компромитирање на системи, кражба на чувствителни податоци, нарушување на работењето или латерално движење низ мрежата.

„Недостатокот на потреба од корисничка интеракција ја прави оваа ранливост особено опасна за системи изложени на интернет. Ниската сложеност на напад и целосното влијание врз системот ја прават идеална за брза оружена експлоатација,“ додаде Волтерс. „Системи со IKEv2 услуги изложени на интернет се особено ризични, а одложувањето на закрпите ја зголемува изложеноста на потенцијални масовни напади.“

Извори:

  • The Hacker News – Microsoft Issues Patches for SharePoint Zero-Day and 168 Other New Vulnerabilities The Hacker News