В мае 2026 года Microsoft выпустила патч для трёх версий SharePoint Server: Subscription Edition, 2019 и Enterprise Server 2016. Уязвимость получила идентификатор CVE-2026-45659 и оценку CVSS 8.8, что относит её к категории высокой опасности. Механизм атаки построен на десериализации недоверенных данных, что позволяет аутентифицированному злоумышленнику с минимальными правами уровня Site Member удалённо выполнить произвольный код на сервере. Для этого не нужны административные привилегии.
CISA добавила CVE-2026-45659 в каталог Known Exploited Vulnerabilities в среду и опубликовала официальное описание: «Microsoft SharePoint Server содержит уязвимость десериализации недоверенных данных, которая позволяет авторизованному злоумышленнику выполнять код по сети». Федеральным агентствам FCEB (Federal Civilian Executive Branch) предписано установить все доступные исправления до 4 июля 2026 года.
Показательная деталь: Microsoft в собственном advisory пометила уязвимость тегом «Exploitation Less Likely» — то есть маловероятная эксплуатация. Тем не менее CISA зафиксировала активное использование бреши в реальных атаках. Кем именно, с какими целями и каким конкретным способом — агентство не сообщает. Эти данные по-прежнему неизвестны.
Параллельно команда Microsoft Incident Response в ходе рутинного расследования инцидента с ransomware обнаружила кое-что неожиданное: в одной сети одновременно действовали два независимых злоумышленника. Они никак не были связаны между собой, но оба работали в одном и том же окружении и оба использовали техники, затруднявшие обнаружение и реагирование на инцидент.
Первый из них — группировка Storm-2603, известная как минимум с середины 2025 года. Её специализация — атаки на on-premises SharePoint серверы и распространение ransomware Warlock. В расследуемом случае первоначальный доступ, по всей видимости, был получен через CVE-2025-11371 — критическую уязвимость в Gladinet Triofox с оценкой CVSS 9.1. Косвенное подтверждение — запросы к файлам win.ini и web.config, характерные для проверки возможности локального включения файлов (local file inclusion).
После проникновения Storm-2603 действовала методично. Для закрепления в системе и организации удалённого доступа группировка задействовала инструменты, которые в другом контексте выглядели бы абсолютно легитимными: Velociraptor, Cloudflare tunneling, Zoho Assist и подключение по SSH через конфигурацию Visual Studio Code. Чтобы нейтрализовать защитные решения на конечных точках, использовался уязвимый драйвер NSecKrnl.sys. Дополнительно были созданы новые локальные и доменные учётные записи с правами администратора.
Второй злоумышленник остался неустановленным. Он использовал DLL side-loading и кастомные бэкдоры. Само по себе присутствие двух независимых атакующих в одной среде заметно осложнило атрибуцию: сигналы смешивались, следы перекрывали друг друга.
Атака не ограничилась одной организацией. Storm-2603 переместилась латерально за пределы скомпрометированной сети и поразила вторую, отдельную организацию. Та же ransomware-активность, та же группировка. Команда Microsoft прокомментировала это так: «Вместе эти пересекающиеся потоки активности обеспечили устойчивый доступ, одновременно скрывая полный масштаб вторжения», и добавила: «То, что может казаться единственным ransomware-инцидентом, способно быстро превратиться в нечто более сложное — охватывающее несколько организаций, смешивающее тактики и задействующее несколько параллельно действующих угроз. Для команд безопасности вывод очевиден: изолированные сигналы редко рассказывают всю историю».
Весь эпизод хорошо показывает, насколько опасна ставка на один источник информации при расследовании инцидентов. Storm-2603 намеренно маскировала вредоносную активность под штатные административные операции, используя доверенные инструменты. Два атакующих в одной сети создали информационный шум, в котором легко потерять нить. А горизонтальное распространение на вторую организацию означает, что реальный периметр инцидента оказался шире первоначально видимого.
CISA добавила CVE-2026-45659 в каталог Known Exploited Vulnerabilities в среду и опубликовала официальное описание: «Microsoft SharePoint Server содержит уязвимость десериализации недоверенных данных, которая позволяет авторизованному злоумышленнику выполнять код по сети». Федеральным агентствам FCEB (Federal Civilian Executive Branch) предписано установить все доступные исправления до 4 июля 2026 года.
Показательная деталь: Microsoft в собственном advisory пометила уязвимость тегом «Exploitation Less Likely» — то есть маловероятная эксплуатация. Тем не менее CISA зафиксировала активное использование бреши в реальных атаках. Кем именно, с какими целями и каким конкретным способом — агентство не сообщает. Эти данные по-прежнему неизвестны.
Параллельно команда Microsoft Incident Response в ходе рутинного расследования инцидента с ransomware обнаружила кое-что неожиданное: в одной сети одновременно действовали два независимых злоумышленника. Они никак не были связаны между собой, но оба работали в одном и том же окружении и оба использовали техники, затруднявшие обнаружение и реагирование на инцидент.
Первый из них — группировка Storm-2603, известная как минимум с середины 2025 года. Её специализация — атаки на on-premises SharePoint серверы и распространение ransomware Warlock. В расследуемом случае первоначальный доступ, по всей видимости, был получен через CVE-2025-11371 — критическую уязвимость в Gladinet Triofox с оценкой CVSS 9.1. Косвенное подтверждение — запросы к файлам win.ini и web.config, характерные для проверки возможности локального включения файлов (local file inclusion).
После проникновения Storm-2603 действовала методично. Для закрепления в системе и организации удалённого доступа группировка задействовала инструменты, которые в другом контексте выглядели бы абсолютно легитимными: Velociraptor, Cloudflare tunneling, Zoho Assist и подключение по SSH через конфигурацию Visual Studio Code. Чтобы нейтрализовать защитные решения на конечных точках, использовался уязвимый драйвер NSecKrnl.sys. Дополнительно были созданы новые локальные и доменные учётные записи с правами администратора.
Второй злоумышленник остался неустановленным. Он использовал DLL side-loading и кастомные бэкдоры. Само по себе присутствие двух независимых атакующих в одной среде заметно осложнило атрибуцию: сигналы смешивались, следы перекрывали друг друга.
Атака не ограничилась одной организацией. Storm-2603 переместилась латерально за пределы скомпрометированной сети и поразила вторую, отдельную организацию. Та же ransomware-активность, та же группировка. Команда Microsoft прокомментировала это так: «Вместе эти пересекающиеся потоки активности обеспечили устойчивый доступ, одновременно скрывая полный масштаб вторжения», и добавила: «То, что может казаться единственным ransomware-инцидентом, способно быстро превратиться в нечто более сложное — охватывающее несколько организаций, смешивающее тактики и задействующее несколько параллельно действующих угроз. Для команд безопасности вывод очевиден: изолированные сигналы редко рассказывают всю историю».
Весь эпизод хорошо показывает, насколько опасна ставка на один источник информации при расследовании инцидентов. Storm-2603 намеренно маскировала вредоносную активность под штатные административные операции, используя доверенные инструменты. Два атакующих в одной сети создали информационный шум, в котором легко потерять нить. А горизонтальное распространение на вторую организацию означает, что реальный периметр инцидента оказался шире первоначально видимого.