Dwóch administratorów, jedna poprawka, bardzo różny lipiec
Wyobraź sobie dwie firmy z tym samym lokalnym serwerem SharePoint. Jedna zastosowała aktualizację zabezpieczeń Microsoftu z maja 2026 roku w tygodniu jej wydania. Druga zarchiwizowała ją jako rutynę i ruszyła dalej, uspokojona własną adnotacją Microsoftu, że wykorzystanie jest mniej prawdopodobne. 1 lipca amerykańska agencja CISA dodała dokładnie tę lukę, CVE-2026-45659, do swojego katalogu znanych wykorzystywanych podatności, powołując się na dowody aktywnych ataków na wolności. Pierwszy administrator był już bezpieczny. Drugi ma teraz pilny problem z dołączonym publicznym terminem.
CISA dała amerykańskim agencjom federalnym czas do 4 lipca na załatanie. Ta data nie jest twoim obowiązkiem, ale wpis jest twoim ostrzeżeniem: podatność, którą ktoś zbagatelizował w maju, jest wykorzystywana przeciwko realnym celom w lipcu.
Luka w prostych słowach
CVE-2026-45659 to podatność na zdalne wykonanie kodu spowodowana niebezpieczną deserializacją niezaufanych danych, o poziomie krytyczności 8.8 na 10. W praktyce oznacza to, że atakujący może zmusić serwer do uruchomienia wybranego przez siebie kodu. Dotyczy produktów lokalnych, czyli SharePoint Server Subscription Edition, SharePoint Server 2019 oraz SharePoint Enterprise Server 2016, a nie SharePoint hostowanego w chmurze w Microsoft 365.
Szczegółem, który podnosi stawkę, jest niski próg wejścia. Wykorzystanie luki nie wymaga uprawnień administratora; wystarczy pojedyncze konto że zwykłymi uprawnieniami Członka witryny. Większość organizacji przyznaje ten poziom dostępu konsultantom, personelowi tymczasowemu i dziesiątkom zwykłych użytkowników. Jedno z tych poświadczeń, wyłudzone lub użyte ponownie, to cały klucz.
Przepaść między mało prawdopodobnym a wykorzystywanym
Gdy Microsoft wydał poprawkę w maju, oznaczył lukę jako mniej prawdopodobną do wykorzystania, rozsądną prognozę, która okazała się błędna w ciągu tygodni. Ta przepaść jest powodem, dla którego oceny krytyczności dostawcy powinny ustalać kolejność łatania, a nie decyzję o łataniu. Ocena przewiduje zachowanie atakującego; wpis CISA wśród wykorzystywanych podatności je odnotowuje. Gdy te dwie się różnią, wygrywa zapis, i właśnie wygrał.
Ten schemat nie jest nowy. Lokalne serwery współpracy, wystawione na internet i bogate w dane wewnętrzne, należą do najczęściej i najpewniej atakowanego oprogramowania w zasobach przedsiębiorstw. Obniżona adnotacja krytyczności to prognoza, a prognozy są dokładnie tym, za obalenie czego atakujący są opłacani.
Dlaczego NIS2 zmienia stawkę i co zrobić teraz
Dla europejskich podmiotów konsekwencja jest zarówno regulacyjna, jak i techniczna. W ramach dyrektywy NIS2 organizacje objęte zakresem muszą zarządzać znanymi podatnościami i mogą podlegać kontroli oraz karom, jeśli tego zaniechają. W Polsce transpozycja NIS2 w postaci KSC nadaje temu ramy. Luka figurująca na publicznej liście wykorzystywanych podatności, z poprawką dostępną od maja, to niemal najwyraźniejszy możliwy dowód, że rozwiązanie istniało i nie zostało zastosowane. Po incydencie to pierwszy dokument, który podniesie śledczy.
Działanie jest wąskie i natychmiastowe. Potwierdź, czy prowadzisz którąś z trzech dotkniętych lokalnych wersji SharePoint. Jeśli tak, zastosuj teraz aktualizację z maja 2026 roku i poszukaj śladów naruszenia, zamiast zakładać, że sama aktualizacja zamyka drzwi. Następnie traktuj katalog CISA, a nie etykietę krytyczności dostawcy, jako wyzwalacz dla następnego takiego przypadku, ponieważ zawsze jest następny.
Czytaj dalej: Dwie luki w Cursorze z oceną 9.8 oddają maszynę programisty w ręce atakujących | Jeden wyciek u dostawcy odpowiadał za połowę europejskich ofiar ransomware



