Агентство по кибербезопасности и защите инфраструктуры США предупредило об атаках на локальные серверы SharePoint, доступные из интернета. Злоумышленники уже используют три уязвимости, которые позволяют обойти проверку подлинности, проникнуть в систему и установить вредоносные программы.
Под угрозой находятся все поддерживаемые локальные версии SharePoint Server, включая Subscription Edition, SharePoint Server 2019 и SharePoint Server 2016. Активные атаки связаны с уязвимостями CVE-2026-32201 (6.5 Medium), CVE-2026-45659 (8.8 High) и CVE-2026-56164 (9.8 Critical). После взлома атакующие могут удалённо выполнять код, похищать ключи Internet Information Services и закрепляться в системе. Полученный доступ позволяет развивать атаку и загружать вредоносные программы на скомпрометированные серверы.
По данным Shadowserver, сейчас из интернета доступны почти 10 000 серверов Microsoft SharePoint. Более 800 из них не защищены от уязвимостей CVE-2026-32201 (6.5 Medium) и CVE-2026-45659 (8.8 High). Сколько серверов уязвимы перед CVE-2026-56164 (9.8 Critical), пока неизвестно. В статистику также могут входить приманки, созданные специально для наблюдения за действиями злоумышленников.
Администраторам следует включить интерфейс проверки на вредоносный код AMSI для каждого веб-приложения SharePoint и, где возможно, выбрать полный режим анализа тела запросов. AMSI и Microsoft Defender Antivirus уже распознают попытки обойти проверку подлинности, удалённо выполнить код и похитить защищённые секреты IIS.
Перед заменой ключей IIS нужно сначала найти и удалить все следы вторжения. Если в системе останется программа для сбора ключей, злоумышленники смогут повторно похитить новые данные. Microsoft рекомендует разделить серверы SharePoint по ролям, оставить открытыми только необходимые службы и порты, закрыть внешний доступ к центральному администрированию и ограничить связь с базами данных доверенными узлами.
Серверы не следует напрямую выставлять в интернет, а при необходимости внешнего доступа их нужно размещать за обратным прокси-сервером. В Web.config следует отключить вывод технических подробностей, сократить список разрешённых компонентов и установить разумные ограничения на загрузку файлов. Также нельзя отключать системные службы SharePoint без проверки их назначения.
