Более 1300 серверов Microsoft SharePoint уязвимы для атак с подменой IP-адресов

Более 1300 серверов Microsoft SharePoint, находящихся в открытом доступе, остаются незащищёнными от уязвимости, связанной с подменой сетевых данных.

Баг отслеживаемый как CVE-2026-32201, затрагивает SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition (последняя локальная релиз, использующая схема «непрерывного обновления»).

Как пояснила Microsoft при устранении этой проблемы безопасности в контексте обновления Patch Tuesday за апрель 2026 года, успешная эксплуатация даёт возможность злоумышленникам без привилегий выполнять подмену сетевых данных, используя уязвимость некорректной проверки входных данных в атаках низкой сложности, не требующих взаимодействия с пользователем. «Злоумышленник, успешно использовавший уязвимость, мог просмотреть некоторую конфиденциальную информацию (Конфиденциальность), внести изменения в раскрытую информацию (Целостность), но не мог ограничить доступ к ресурсу (Доступность)», — говорится в сообщении.

Хотя компания обозначила дефект как уязвимость нулевого дня, она пока не раскрыла, как она использовалась в атаках, и не связала вредоносную деятельность с конкретным злоумышленником или хакерской группой. 

Между тем группа по мониторингу интернет-безопасности Shadowserver предупредила, что более 1300 серверов всё ещё ждут обновления безопасности, при этом менее 200 систем были обновлены с момента выпуска Microsoft апдейта для CVE-2026-32201 на прошлой неделе. 

Ранее CISA добавила баг в свой каталог известных эксплуатируемых уязвимостей (KEV). Агентство кибербезопасности США равным образом обязало федеральные гражданские исполнительные органы (FCEB) апдейтнуть серверы SharePoint в течение двух недель, к 28 апреля.

«Этот тип уязвимости является частым вектором атак для злонамеренных киберпреступников и представляет значительные риски для федеральных предприятий», — говорилось в сообщении.

Всего 14 апреля Microsoft закрыла 167 уязвимостей.

Равным образом организация выпустила внеплановое апдейт безопасности для последней версии .NET. Такую меру приняли из-за серьёзной уязвимости безопасности. Она даёт возможность злоумышленнику использовать эксплойт повышения привилегий (EoP) путем подделки аутентификационных файлов cookie и расшифровки некоторых защищённых полезных нагрузок.