JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) antradienį perspėjo, kad užpuolikai aktyviai naudojasi trimis pažeidžiamumu, kad įsilaužtų į internetinius vietinius SharePoint Server egzempliorius.
Šie saugos trūkumai (steBimi kaip CVE-2026-32201, CVE-2026-45659 ir CVE-2026-56164) turi įtakos visoms palaikomoms savarankiškai priglobtoms „SharePoint Server“ versijoms, įskaitant „SharePoint Server“ prenumeratos leidimą (naujausią vietinę versiją, kuri naudoja „nuolatinį“ modelį).
Kaip išsamiai aprašyta antradienio patarime, užpuolikai naudoja šias spragas, kad apeitų autentifikavimą, gautų nuotolinį kodo vykdymą ir atliktų veiklą po išnaudojimo, įskaitant Interneto informacijos paslaugų įrenginio raktų vagystę ir atkaklumą diegti kenkėjiškas programas pažeistose sistemose.
JAV kibernetinio saugumo agentūra taip pat pažymėjo dar du „SharePoint Server“ pažeidžiamumus (CVE-2026-55040 ir CVE-2026-58644), kuriuos „Microsoft“ antradienį pataisė ir pažymėjo kaip patrauklius taikinius užpuolikams, nors dar nėra žinoma, ar jie buvo išnaudoti gamtoje.
Interneto saugos stebėjimo grupė „Shadowserver“ šiuo metu stebi beveik 10 000 „Microsoft SharePoint“ serverių, kuriuose veikia internetas, daugiau nei 800 iš jų nepataisyta, kad būtų išvengta CVE-2026-32201 ir CVE-2026-45659 pažeidžiamumų.
Tačiau nėra informacijos apie tai, kiek iš jų yra pažeidžiami CVE-2026-56164 atakų arba yra medaus puodų.
CISA paragino saugos komandas atidžiai stebėti, ar paveiktuose serveriuose nėra išnaudojimo požymių, ir rekomendavo pritaikyti naujausius „Microsoft“ pataisymus, patikrinti sėkmingą diegimą, sutrumpinti pataisymo ciklus, taip pat įgalinti „Windows“ antimalware nuskaitymo sąsają (AMSI integraciją „SharePoint“ žiniatinklio programoms ir naudoti „Microsoft Defender Antivirus“ (MDAV) aptikimus, kad būtų galima aptikti ir pašalinti kompromisą).
Papildomos apsaugos priemonės apima įsibrovimo artefaktų paiešką ir pašalinimą prieš sukant IIS įrenginio raktus, pritaikyto registravimo registravimą, kad būtų galima stebėti anomalią veiklą, tiesioginio SharePoint serverių poveikio internete išvengimą, nebent būtina, ir oficialių Microsoft SharePoint Server saugumo stiprinimo gairių peržiūrą.
Taip pat patartina blokuoti išorinę prieigą prie SharePoint centrinės administracijos ir apriboti ūkio bei duomenų bazių ryšį su reikiamomis sistemomis. Kai reikia atskleisti, CISA taip pat rekomenduoja serverius statyti už 7 lygmens atvirkštinio tarpinio serverio arba panašios programos lygmens saugos kontrolės.
CISA įtraukė tris aktyviai išnaudojamus pažeidžiamumus į žinomų išnaudotų pažeidžiamumų katalogą balandžio 14 d. (CVE-2026-32201), liepos 1 d. (CVE-2026-45659) ir liepos 14 d. (CVE-2026-56164).
Federalinės agentūros turi iki liepos 17 d. apsaugoti „SharePoint“ serverius, paveiktus CVE-2026-56164, pagal Įpareigojančią veiklos direktyvą (BOD) 26-04 arba nutraukti jų veiklą, jei negalima taikyti švelninimo priemonių.
Iš viso nuo 2021 m. lapkričio mėn. CISA pažymėjo 11 „Microsoft SharePoint“ spragų, kurios buvo išnaudotos atakose, iš kurių 7 taip pat buvo išnaudotos išpirkos reikalaujančios programos atakose.


