Почти 10000 серверов под ударом. Хакеры взламывают SharePoint через три новые уязвимости

leer en español

2005
Почти 10000 серверов под ударом. Хакеры взламывают SharePoint через три новые уязвимости

Хакеры похищают ключи IIS через уязвимости в серверах SharePoint.

image

Агентство по кибербезопасности и защите инфраструктуры США предупредило об атаках на локальные серверы SharePoint, доступные из интернета. Злоумышленники уже используют три уязвимости, которые позволяют обойти проверку подлинности, проникнуть в систему и установить вредоносные программы.

Под угрозой находятся все поддерживаемые локальные версии SharePoint Server, включая Subscription Edition, SharePoint Server 2019 и SharePoint Server 2016. Активные атаки связаны с уязвимостями CVE-2026-32201 (6.5 Medium), CVE-2026-45659 (8.8 High) и CVE-2026-56164 (9.8 Critical). После взлома атакующие могут удалённо выполнять код, похищать ключи Internet Information Services и закрепляться в системе. Полученный доступ позволяет развивать атаку и загружать вредоносные программы на скомпрометированные серверы.

По данным Shadowserver, сейчас из интернета доступны почти 10 000 серверов Microsoft SharePoint. Более 800 из них не защищены от уязвимостей CVE-2026-32201 (6.5 Medium) и CVE-2026-45659 (8.8 High). Сколько серверов уязвимы перед CVE-2026-56164 (9.8 Critical), пока неизвестно. В статистику также могут входить приманки, созданные специально для наблюдения за действиями злоумышленников.

Администраторам следует включить интерфейс проверки на вредоносный код AMSI для каждого веб-приложения SharePoint и, где возможно, выбрать полный режим анализа тела запросов. AMSI и Microsoft Defender Antivirus уже распознают попытки обойти проверку подлинности, удалённо выполнить код и похитить защищённые секреты IIS.

Перед заменой ключей IIS нужно сначала найти и удалить все следы вторжения. Если в системе останется программа для сбора ключей, злоумышленники смогут повторно похитить новые данные. Microsoft рекомендует разделить серверы SharePoint по ролям, оставить открытыми только необходимые службы и порты, закрыть внешний доступ к центральному администрированию и ограничить связь с базами данных доверенными узлами.

Серверы не следует напрямую выставлять в интернет, а при необходимости внешнего доступа их нужно размещать за обратным прокси-сервером. В Web.config следует отключить вывод технических подробностей, сократить список разрешённых компонентов и установить разумные ограничения на загрузку файлов. Также нельзя отключать системные службы SharePoint без проверки их назначения.