Американската Агенция за киберсигурност и инфраструктурна сигурност (CISA) добави в сряда сериозна уязвимост, засягаща Microsoft SharePoint Server, към своя каталог с известни експлоатирани уязвимости (KEV), позовавайки се на доказателства за активна експлоатация.
Уязвимостта, проследявана като CVE-2026-45659 (оценка по CVSS: 8.8), представлява случай на отдалечено изпълнение на код (RCE), произтичащо от десериализация на ненадеждни данни. Проблемът беше отстранен от Microsoft през май 2026 г. за SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016.
От Microsoft отбелязаха, че всеки автентифициран атакуващ може да задейства уязвимостта, като за това не се изискват администраторски или други повишени привилегии. При мрежова атака, автентифициран нападател с минимални права на член на сайта (Site Member - PR:L) би могъл да я използва, за да изпълни код отдалечено на SharePoint сървъра.
"Microsoft SharePoint Server съдържа уязвимост при десериализация на ненадеждни данни, която позволява на оторизиран нападател да изпълнява код по мрежата", заявиха от CISA.
Според бюлетина за сигурност на разработчика на Windows, уязвимостта е получила оценка "Експлоатацията е по-малко вероятна". Към момента не е известно как се експлоатира тя, кой стои зад активността и какви са крайните цели на тези усилия. С оглед на активната експлоатация, на федералните агенции в САЩ се препоръчва да приложат корекциите до 4 юли 2026 г.
Microsoft разкрива паралелна заплаха от две групи
В края на миналия месец Microsoft разкри, че рутинно разследване на рансъмуер е открило двама несвързани нападатели, действащи едновременно в една и съща мрежа. Те са използвали целенасочени техники за установяване на постоянен достъп и затрудняване на усилията за реагиране при инциденти.
Едната група атаки се приписва на Storm-2603 — киберпрестъпна група, известна с разгръщането на рансъмуера Warlock, често чрез експлоатиране на известни уязвимости в локални (on-premises) SharePoint сървъри от средата на 2025 г. насам.
При придобиването на първоначален достъп, атакуващият е разгърнал инструменти като Velociraptor, за да смеси зловредната дейност с доверено административно поведение, и е установил множество канали за отдалечен достъп чрез тунелиране на Cloudflare, Zoho Assist и SSH връзки, конфигурирани през Visual Studio Code. Атаката също така е ескалирала привилегии чрез създаване на нови локални и домейн администраторски акаунти, докато уязвима версия на драйвер (NSecKrnl.sys) е послужила за компрометиране на защитата на крайните устройства с цел намаляване на видимостта на атаката.
В същото време Microsoft открива признаци за втори, несвързан нападател, съжителстващ в същата среда, който е използвал DLL side-loading и персонализирани задни врати (backdoors), което прави приписването на атаката още по-трудно.
Разследването разкрива, че нападателите са се придвижили странично извън първата мрежа и са навлезли във втора организация, за която е потвърдено, че е компрометирана от същата рансъмуер активност, свързана със Storm-2603.