Мартовский Patch Tuesday от Microsoft содержит 78 исправлений, включая три критические уязвимости в Office, которые требуют срочного внимания из-за риска утечки данных через инструменты продуктивности. Также отмечены проблемы в Azure и хорошие новости по интеграции Sysmon в Windows 11. — csoonline.com
Три уязвимости высокого уровня критичности в пакете Microsoft Office возглавляют список из 78 проблем, перечисленных в мартовских выпусках Patch Tuesday, которые, к облегчению руководителей служб безопасности (CSO), не содержат неожиданных уязвимостей нулевого дня.
Тем не менее, Джек Бицер, директор по исследованиям уязвимостей в Action1, считает, что к этим недостаткам в Office следует относиться «срочно».
«Инструменты для повышения производительности остаются одним из наиболее распространенных точек входа для злоумышленников, — пояснил он, — а уязвимости, которые могут быть задействованы при стандартной обработке документов, продолжают расширять поверхность атаки внутри корпоративных сетей».
Одним из наиболее заметных из трех недостатков, по его словам, является уязвимость раскрытия информации в Excel (CVE-2026-26144). Этот дефект связан с некорректной нейтрализацией ввода при генерации веб-страниц, также известной как межсайтовый скриптинг. Уязвимость позволяет злоумышленнику инициировать непреднамеренное исходящее сетевое взаимодействие, которое может привести к утечке конфиденциальной информации.
Для атаки требуется доступ к сети, как заявляет Microsoft, но не требуется взаимодействие с пользователем или привилегии. Злоумышленник может доставить специально сформированный контент, который при обработке Excel инициирует эксфильтрацию данных без срабатывания оповещений. Это опасно, поскольку файлы Excel часто содержат конфиденциальные корпоративные данные.
«Особую озабоченность вызывает потенциальное взаимодействие с режимом Copilot Agent, — сообщил Бицер по электронной почте, — где автоматизированные процессы могут передавать конфиденциальные данные без прямого участия пользователя. Даже при отсутствии подтвержденного использования в реальных условиях возможность скрытой эксфильтрации данных из электронных таблиц, содержащих финансовую, операционную информацию или данные интеллектуальной собственности, представляет собой значительный риск для организаций, которые в значительной степени полагаются на рабочие процессы на базе Excel».
На сегодняшний день эта уязвимость не была использована в атаках.
Action1 заявляет, что если развертывание исправлений необходимо отложить, организациям следует ограничить исходящий сетевой трафик от приложений Office и отслеживать необычные сетевые запросы, генерируемые процессами Excel. Отключение или ограничение функций автоматизации на базе ИИ, таких как режим Copilot Agent, может снизить подверженность риску.
Второй недостаток в Office, на который обратил внимание Бицер, — это уязвимость удаленного выполнения кода (CVE 2026-26113), вызванная некорректной обработкой указателей памяти в Office. Это позволит злоумышленнику манипулировать доступом приложения к памяти. Успешная эксплуатация может позволить злоумышленнику выполнить код в затронутой системе с теми же привилегиями, что и у текущего пользователя. Администраторам следует отметить, что панель предварительного просмотра (Preview Pane) может служить вектором атаки, поэтому эксплуатация может произойти просто при просмотре вредоносного файла.
Этот баг имеет оценку CVSS 8.4. На сегодняшний день нет известных публичных эксплойтов или доказательств концепции.
Существует также отдельная уязвимость удаленного выполнения кода в Office (CVE-2026-26110), которая создает риск из-за ошибки путаницы типов, возникающей в результате некорректной обработки несовместимых типов данных в памяти. Как и в случае с предыдущей уязвимостью, Бицер отметил, что эксплуатация может произойти через предварительный просмотр документа и позволить злоумышленникам выполнять вредоносный код с привилегиями вошедшего в систему пользователя. «Эти уязвимости подчеркивают, как повседневные действия по работе с документами могут быстро стать путями для компрометации системы», — сказал он.
«С точки зрения бизнеса, уязвимости, которые позволяют выполнять код или раскрывать данные через широко используемое программное обеспечение для повышения производительности, представляют значительный операционный риск, — добавил Бицер. — Документы Office регулярно обмениваются по электронной почте, платформам для совместной работы и общим репозиториям, что делает их распространенным механизмом доставки фишинговых кампаний и целенаправленных атак. В случае эксплуатации эти уязвимости могут позволить злоумышленникам развернуть вредоносное ПО, украсть конфиденциальную информацию, установить постоянный доступ или перемещаться по корпоративным сетям. Вектор атаки через панель предварительного просмотра вызывает особую озабоченность, поскольку он снижает необходимость взаимодействия с пользователем и увеличивает вероятность случайного раскрытия данных».
Бицер заявил, что для этого Patch Tuesday стратегический фокус должен включать быстрое развертывание исправлений для сред Office, мониторинг необычной исходящей сетевой активности, исходящей от приложений Office, и ограничение функций автоматического обмена данными, связанных с рабочими процессами с поддержкой ИИ, такими как режим Copilot Agent. Руководителям по информационной безопасности (CISO) также следует усилить меры контроля, снижающие риск атак на основе документов, включая отключение панели предварительного просмотра, где это возможно, усиление фильтрации вложений электронной почты и повышение мониторинга конечных точек на предмет аномального поведения процессов Office.
«Эти шаги снизят вероятность того, что рутинное взаимодействие с документами станет точкой входа для злоумышленников, стремящихся скомпрометировать корпоративные системы или извлечь конфиденциальные данные», — сказал он.
Проблемы Azure
Тайлер Регули, заместитель директора по исследованиям и разработкам в области безопасности в Fortra, заявил, что CSO следует уделить пристальное внимание девяти уязвимостям Azure: CVE-2026-23651 и 26124 в Azure Compute Gallery; CVE-2026-23660 в Azure Portal Windows Admin Center; CVE-2026-23661, 23662 и 23664 в Azure IoT Explorer, CVE-2026-23665 в Azure Linux Virtual Machines, CVE-2026-26141 в Azure Arc; CVE-2026-26118, уязвимость повышения привилегий в инструментах Azure Model Context Protocol (MCP), и CVE-2026-26148 в Azure Entra ID.
Уязвимость входа в Entra ID затрагивает виртуальные машины Azure Linux и имеет высокий уровень критичности с оценкой CVSS 8.1. Она может позволить неавторизованному злоумышленнику локально повысить свои привилегии. Пользователям Azure необходимо обновить расширение входа Azure SSH через менеджер пакетов своего дистрибутива Linux, чтобы установить последнюю версию пакета aadsshlogin. Системы, в которых расширение уже установлено, автоматически настроены на использование packages.microsoft.com, поэтому дополнительная настройка не требуется.
«Облачная экосистема на самом деле не очень хорошо справляется с установкой исправлений, — сказал Регули. — Это относительно незрелый процесс, и то, как Microsoft управляет этими продуктами, действительно это демонстрирует. CVE, затрагивающая виртуальные машины Azure Linux (CVE-2026-23665) или многочисленные CVE, затрагивающие Azure IoT Explorer, требуют довольно нестандартных механизмов установки исправлений, и это может потребовать дополнительных усилий от ИТ-команд. Руководителям служб безопасности следует убедиться, что у них есть надежные инвентаризационные данные о развертывании облачных систем и инструментов, чтобы администраторы знали, где они находятся и когда их нужно исправить. Это лучший способ расширить возможности ваших системных администраторов и групп безопасности в такой спокойный месяц, как этот», — добавил Регули.
Крис Гёттль, вице-президент по управлению продуктами в Ivanti, отметил, что в списке присутствует уязвимость повышения привилегий в SQL Server (CVE-2026-21262) с оценкой CVSS 8.8, однако она уже была публично раскрыта. Злоумышленник, успешно использовавший эту уязвимость, мог получить привилегии системного администратора SQL. Уязвимость затрагивает SQL Server 2016 и более поздние версии.
Сатнам Наранг, старший инженер-исследователь в Tenable, прокомментировал исправление для инструментов Azure Model Context Protocol (MCP). «Этот баг представляет собой подделку запросов на стороне сервера (server-side request forgery), — сказал он по электронной почте, — поэтому злоумышленник мог использовать его, отправив запрос на уязвимый сервер Azure MCP. Но для эксплуатации требуется, чтобы сервер принимал параметры, предоставленные пользователем.
«Серверы MCP стали чрезвычайно популярны для подключения больших языковых моделей и агентских ИИ-приложений, — отметил он, — и с ростом таких инструментов, как OpenClaw и других агентов, стало еще более критичным защитить эти инструменты от киберпреступников».
Хорошие новости для администраторов
Ник Кэрролл, менеджер по реагированию на инциденты кибербезопасности в Nightwing, обнаружил то, что он назвал «невероятно хорошей новостью». Годами защитники и аналитики SOC полагались на System Monitor (Sysmon) от Microsoft для получения телеметрии высокого уровня достоверности о создании процессов, сетевых подключениях и изменениях файлов. Но поскольку Sysmon входил в сторонний набор Sysinternals, его развертывание требовало ручной загрузки, пользовательских скриптов и постоянного обслуживания.
Начиная с мартовского обновления функций для Windows 11 (KB5079473), Sysmon нативно интегрирован непосредственно в Windows 11 в качестве необязательной встроенной функции. Администраторам больше не нужно динамически упаковывать его. Его можно просто включить программно через PowerShell. «В сочетании с одновременным объявлением Microsoft о том, что Windows Intune включит горячее исправление (hotpatching) по умолчанию в мае 2026 года, это резко снижает барьер для глубокой видимости конечных точек и представляет собой огромный операционный выигрыш для сетевых защитников», — сказал он.
SAP, Google и другие ошибки высокого уровня критичности
Отдельно SAP выпустила исправления для двух критических уязвимостей, одна из которых имеет оценку CVSS 9.8. Это SAP Security Note #3698553, которая устраняет уязвимость внедрения кода в приложении SAP Quotation Management Insurance (FS-QUO). По данным исследователей Onapsis, приложение использует устаревший артефакт Apache Log4j 1.2.17, уязвимый к CVE-2019-17571. Это позволяет непривилегированному злоумышленнику удаленно выполнять произвольный код на сервере, что влечет за собой высокое влияние на конфиденциальность, целостность и доступность приложения.
Другая заметка SAP Security Note, #3714585, с оценкой CVSS 9.1, устраняет уязвимость небезопасной десериализации в SAP NetWeaver Enterprise Portal Administration. Из-за отсутствия или недостаточной проверки при десериализации загруженного контента привилегированный пользователь может загрузить недоверенный или вредоносный контент. Только тот факт, что для успешной эксплуатации злоумышленнику требуются высокие привилегии, не позволяет присвоить уязвимости оценку CVSS 10.
Другие поставщики также устранили некоторые проблемы высокого уровня критичности.
Apple выпустила обновления безопасности для повреждения памяти в Dynamic Link Editor, используемом в iPadOS, macOS, tvOS, watchOS и visionsOS.
Google выпустила обновления безопасности для Chrome и браузера Chromium, которые устраняют несколько проблем высокого уровня критичности.
Ivanti выявила два серьезных бага в своем Endpoint Manager, которые могут позволить злоумышленникам украсть учетные данные или прочитать конфиденциальные данные.
WordPress выпустила обновление безопасности для закрытия уязвимости, которая обнажает критический недостаток в плагине WPvivid Backup and Migration. Он имеет оценку CVSS 9.8.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon