Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wydała pilne zalecenie dotyczące zabezpieczenia serwerów Microsoft SharePoint. Decyzja ta jest bezpośrednią odpowiedzią na wykrycie trzech podatności, które są obecnie aktywnie wykorzystywane w atakach, w tym dwóch sklasyfikowanych jako luki typu zero-day.
Zagrożenia i konieczność aktualizacji
Najnowszym zagrożeniem jest luka oznaczona jako CVE-2026-56164. Pozwala ona na eskalację uprawnień i może zostać wykorzystana zdalnie, bez konieczności uwierzytelniania użytkownika. Problem ten został rozwiązany w ramach lipcowej aktualizacji Microsoft Patch Tuesday. Zgodnie z wytycznymi BOD 26-04, CISA wpisała tę podatność do katalogu znanych wykorzystywanych luk (KEV) i nakazała agencjom federalnym wdrożenie poprawek w ciągu trzech dni.
Oprócz wspomnianej luki, lipcowy pakiet aktualizacji Microsoftu zawierał poprawki dla dwóch innych krytycznych błędów w SharePoint: CVE-2026-55040 oraz CVE-2026-58644. Choć w ich przypadku nie odnotowano jeszcze aktywnego wykorzystania w atakach, CISA ostrzega, że zignorowanie tych luk stwarza poważne ryzyko dla organizacji. Podatności te umożliwiają zdalne obejście zabezpieczeń oraz wykonanie dowolnego kodu.
Szerszy kontekst ataków na SharePoint
Agencja zwraca również uwagę na wcześniejsze incydenty, które potwierdzają, że SharePoint jest częstym celem cyberprzestępców:
Te podatności dotyczą wszystkich wspieranych wersji SharePoint Server (Subscription Edition, 2019 oraz 2016) i wiążą się z ustanowieniem zdalnego wykonania kodu (RCE) oraz działaniami poeksploatacyjnymi, takimi jak kradzież kluczy maszynowych IIS oraz techniki deserializacji, w celu uzyskania trwałości i wdrożenia złośliwego oprogramowania.
Zalecenia dla organizacji
CISA rekomenduje organizacjom nie tylko niezwłoczne zainstalowanie poprawek, ale także wdrożenie szeregu działań ochronnych, które pomogą wykryć ewentualne ślady włamań: