Активно експлоатирана уязвимост в SharePoint изисква незабавни действия

Активно експлоатирана уязвимост в SharePoint изисква незабавни действия

Критична уязвимост в Microsoft SharePoint е потвърдена като активно използвана в реални атаки.

На 18 март 2026 г. тя беше добавена в каталога Known Exploited Vulnerabilities (KEV) на CISA, което означава, че вече има наблюдавани атаки в реална среда.

Уязвимостта позволява изпълнение на код от разстояние при обработка на недоверени данни.

Детайли за уязвимостта

Уязвимостта е проследена като CVE-2026-20963 и е свързана с insecure deserialization.

При засегнатите системи:

• атакуващ може да изпрати специално създаден вход

• системата го обработва без достатъчна проверка

• това води до изпълнение на зловреден код

Важното е, че това може да се случи без автентикация.

Защо това е важно

SharePoint съдържа:

• вътрешна документация

• комуникация

• чувствителна информация

Успешна атака може да доведе до:

• първоначален достъп до системите

• внедряване на допълнителен зловреден код

• постоянен достъп

• разпространение в мрежата

Към момента няма официално потвърдени атакуващи групи.

Контекст на експлоатация

Добавянето в KEV означава:

• уязвимостта вече се използва активно

• организациите са реална цел

• рискът е висок и непосредствен

Няма потвърдена връзка с ransomware кампании, но този тип уязвимости често се използват за първоначален достъп.

Необходими действия

CISA изисква ускорено отстраняване на проблема.

Организациите трябва:

• незабавно да приложат наличните пачове

• да следят официалните указания на Microsoft

• да приложат временни мерки при нужда

Ако няма възможност за защита:

• услугата трябва временно да бъде спряна

Федералните агенции имат срок до 21 март 2026 г.

Перспективата на DIAMATIX

Този случай показва добре познат проблем.

Уязвимостите не са опасни, защото няма решение.

Опасни са, защото реакцията закъснява.

Основните рискове са:

• публично достъпни системи

• липса на видимост върху уязвимости

• забавено прилагане на пачове

KEV списъкът трябва да се третира като сигнал за незабавно действие.

Не като информация.

Източници

• CISA. Known Exploited Vulnerabilities Catalog. CVE-2026-20963

• CISA. Binding Operational Directive 22-01

• Microsoft. Security Advisory за SharePoint

• NVD. CVE-2026-20963

• Публични threat intelligence източници

Статията е базирана на публично достъпна информация към март 2026 г.