Krytyczna luka RCE w Microsoft SharePoint (CVE-2026-45659). Dlaczego tej aktualizacji nie wolno odkładać - Security Bez Tabu

Krytyczna luka RCE w Microsoft SharePoint (CVE-2026-45659). Dlaczego tej aktualizacji nie wolno odkładać

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft opublikował poprawki dla krytycznej podatności w SharePoint oznaczonej jako CVE-2026-45659. Luka dotyczy zdalnego wykonywania kodu i wynika z niebezpiecznej deserializacji niezaufanych danych. W praktyce oznacza to, że atakujący dysponujący ważnym, niskoprzywilejowanym kontem w środowisku SharePoint może doprowadzić do uruchomienia własnego kodu na serwerze.

To szczególnie istotne dla organizacji korzystających z SharePoint jako centralnej platformy współpracy i przechowywania dokumentów. Skuteczny atak może otworzyć drogę do dalszej kompromitacji infrastruktury, zwłaszcza jeśli serwer ma szerokie uprawnienia lub liczne integracje z innymi usługami.

W skrócie

Nowa podatność SharePoint umożliwia zdalne wykonanie kodu w scenariuszu sieciowym i otrzymała ocenę CVSS 8.8. Problem obejmuje SharePoint Server Subscription Edition, SharePoint Server 2019 oraz SharePoint Enterprise Server 2016.

  • Atak wymaga uwierzytelnienia, ale nie pełnych uprawnień administracyjnych.
  • Wystarczające może być konto o relatywnie niskim poziomie dostępu.
  • Źródłem błędu jest deserializacja niezaufanych danych.
  • Priorytetem powinno być szybkie wdrożenie poprawek bezpieczeństwa.

Kontekst / historia

SharePoint od lat pozostaje atrakcyjnym celem dla cyberprzestępców oraz grup APT, ponieważ często pełni rolę repozytorium dokumentów, platformy współpracy i punktu integracji z usługami katalogowymi. Z tego powodu każda luka pozwalająca na wykonanie kodu na serwerze ma znaczenie wykraczające poza pojedynczy system.

Podatność CVE-2026-45659 została ujawniona 27 maja 2026 roku. Microsoft udostępnił aktualizacje zabezpieczeń, a jako osobę zgłaszającą problem wskazano badacza działającego pod pseudonimem MEOW. Dla zespołów bezpieczeństwa to kolejny sygnał, że SharePoint pozostaje systemem wymagającym szczególnej uwagi w procesie patch managementu i monitorowania zagrożeń.

Analiza techniczna

Źródłem podatności jest deserializacja niezaufanych danych. Tego typu błędy pojawiają się wtedy, gdy aplikacja odtwarza obiekty dostarczone z zewnątrz bez odpowiedniej walidacji, ograniczenia typów lub bezpiecznych mechanizmów kontroli. Jeśli atakujący może wpłynąć na zawartość takiego ładunku, otwiera się możliwość wykonania nieautoryzowanej logiki po stronie serwera.

W analizowanym przypadku atak ma charakter sieciowy i wymaga uwierzytelnienia. Kluczowe jest jednak to, że nie wymaga on pełnej administracji. Oznacza to, że powierzchnia ataku obejmuje nie tylko administratorów, lecz także zwykłych użytkowników, konta partnerów lub konta techniczne mające dostęp do zasobów SharePoint.

Potencjalny przebieg incydentu może wyglądać następująco:

  • uzyskanie dostępu do platformy z użyciem prawidłowego konta,
  • dostarczenie spreparowanego ładunku wejściowego,
  • wywołanie podatnego mechanizmu deserializacji,
  • wykonanie kodu w kontekście procesu aplikacyjnego,
  • dalsza eskalacja działań, w tym ruch lateralny, kradzież danych lub instalacja narzędzi post-exploitation.

Choć publicznie dostępne informacje nie opisują pełnego łańcucha exploitacji krok po kroku, sama natura błędu wskazuje na wysokie ryzyko w środowiskach, gdzie SharePoint działa z szerokimi uprawnieniami do zasobów domenowych, bibliotek dokumentów i systemów zintegrowanych.

Konsekwencje / ryzyko

Najważniejszym skutkiem podatności jest możliwość przejęcia kontroli nad serwerem SharePoint w zakresie wynikającym z uprawnień procesu oraz konfiguracji środowiska. Nawet jeśli atak wymaga logowania, ryzyko pozostaje wysokie, ponieważ zdobycie konta o niskich uprawnieniach jest zwykle łatwiejsze niż przejęcie konta administracyjnego.

  • SharePoint często przechowuje dokumenty poufne i dane operacyjne.
  • Kompromitacja serwera aplikacyjnego może ułatwić dalszą penetrację sieci.
  • Atak może zostać wykorzystany po kradzieży poświadczeń lub przez insidera.
  • Skutkiem może być wdrożenie web shelli, trwały dostęp i rozpoznanie środowiska.

W praktyce organizacje powinny brać pod uwagę scenariusze obejmujące kradzież dokumentów, naruszenie integralności danych, ruch lateralny w infrastrukturze oraz wykorzystanie SharePoint jako punktu wejścia do kolejnych segmentów sieci. Ocena CVSS 8.8 dobrze odzwierciedla powagę problemu, szczególnie w środowiskach on-premises z opóźnionym cyklem aktualizacji.

Rekomendacje

Najważniejszym działaniem pozostaje niezwłoczne wdrożenie poprawek bezpieczeństwa dla wszystkich wspieranych wersji SharePoint objętych podatnością. Organizacje, które nie mogą przeprowadzić aktualizacji natychmiast, powinny równolegle wdrożyć środki ograniczające ryzyko i zwiększyć poziom monitoringu.

  • zidentyfikować wszystkie instancje SharePoint Server Subscription Edition, SharePoint Server 2019 i SharePoint Enterprise Server 2016,
  • bezzwłocznie zastosować odpowiednie aktualizacje bezpieczeństwa,
  • przeprowadzić przegląd kont o uprawnieniach członka witryny i usunąć nadmiarowe dostępy,
  • wymusić reset haseł dla kont podejrzanych o kompromitację i rozszerzyć użycie MFA,
  • monitorować logi aplikacyjne, systemowe i sieciowe pod kątem anomalii,
  • zweryfikować integralność serwerów pod kątem web shelli, nieautoryzowanych bibliotek i zmian konfiguracyjnych,
  • ograniczyć komunikację wychodzącą oraz lateralną z serwerów SharePoint,
  • przygotować procedurę incident response obejmującą izolację hosta i analizę artefaktów.

Warto także potraktować ten przypadek jako impuls do szerszego przeglądu architektury bezpieczeństwa wokół platform współpracy. Segmentacja sieci, separacja ról administracyjnych, regularny threat hunting i ścisła kontrola dostępu mogą znacząco ograniczyć skutki podobnych błędów w przyszłości.

Podsumowanie

CVE-2026-45659 to poważna podatność RCE w Microsoft SharePoint wynikająca z deserializacji niezaufanych danych. Jej znaczenie wynika nie tylko z wysokiej oceny technicznej, ale również z relatywnie niskiego progu wymagań po stronie atakującego, który potrzebuje jedynie uwierzytelnionego konta o ograniczonych uprawnieniach.

Dla organizacji korzystających z SharePoint oznacza to realne ryzyko kompromitacji jednej z kluczowych platform biznesowych. Najbardziej racjonalną odpowiedzią jest szybkie wdrożenie poprawek, przegląd ekspozycji środowiska oraz aktywne monitorowanie oznak nadużyć i działań post-exploitation.

Źródła

  1. Security Affairs — Microsoft SharePoint Has a New RCE Flaw. If You Haven’t Patched Yet, Go Do That — https://securityaffairs.com/192730/security/microsoft-sharepoint-has-a-new-rce-flaw-if-you-havent-patched-yet-go-do-that.html
  2. Microsoft Security Response Center — CVE-2026-45659 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45659
  3. CVE Program — CVE-2026-45659 — https://www.cve.org/CVERecord?id=CVE-2026-45659
  4. Microsoft Security Response Center — Microsoft SharePoint Server Security Updates — https://msrc.microsoft.com/update-guide
  5. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog