15.04.2026
1 хв
211
Microsoft випустила масштабне оновлення безпеки в рамках Patch Tuesday, закривши понад 160 уразливостей, включно з нульовим днем у SharePoint, який уже активно використовувався в атаках. Головна проблема дозволяла зловмисникам підмінювати довірений контент і маніпулювати даними користувачів.
Microsoft випустила одне з найбільших оновлень безпеки за останній час. Компанія закрила одразу 169 вразливостей у своїх продуктах, і серед них є щонайменше одна, яку вже активно використовували в реальних атаках.
Більшість проблем мають високий рівень ризику. Із загальної кількості 157 вразливостей позначені як важливі, ще вісім вважаються критичними. Також є три помірні та одна з низьким рівнем небезпеки. Найчастіше в цьому оновленні зустрічаються баги, пов’язані з підвищенням привілеїв, їх аж 93. Далі йдуть уразливості розкриття інформації та віддаленого виконання коду, по 21 у кожній категорії. Крім того, виправили 14 проблем обходу захисних механізмів, 10 уразливостей підміни та дев’ять сценаріїв відмови в обслуговуванні.
Окремо варто згадати сторонні компоненти. У цьому релізі також закрили чотири вразливості, які не належать безпосередньо Microsoft, але впливають на її екосистему. Йдеться про проблеми в AMD, Node.js, Windows Secure Boot і Git for Windows. Паралельно компанія закрила ще 78 уразливостей у браузері Edge на базі Chromium, які накопичилися з моменту попереднього оновлення.
Цей випуск став другим за масштабом за всю історію Patch Tuesday. Більший був лише в жовтні 2025 року, коли Microsoft закрила 183 вразливості. Як зазначив старший дослідник Tenable Сатнам Наранг, якщо темп збережеться, то понад тисяча CVE на рік може стати новою нормою.
Експерти також звертають увагу на тенденції. Уже вісім місяців поспіль найбільшу частку займають уразливості, пов’язані з підвищенням привілеїв. У квітні вони склали 57% усіх виправлених проблем. Водночас кількість багів віддаленого виконання коду помітно знизилась і зараз знаходиться на рівні близько 12%.
Найбільшу увагу в цьому оновленні привертає вразливість у Microsoft SharePoint Server, яка вже використовувалася в атаках. Вона отримала ідентифікатор CVE-2026-32201 і пов’язана з некоректною перевіркою вхідних даних. Через це зловмисники можуть підмінювати контент або інтерфейс, змушуючи користувачів довіряти підробленій інформації.
У Microsoft пояснюють, що успішна атака дає змогу переглядати частину конфіденційних даних і навіть змінювати їх. При цьому повністю заблокувати доступ до системи зловмисник не може, але сам факт підміни робить цю вразливість небезпечною як інструмент для подальших атак.
«Ця вразливість у SharePoint дозволяє підробляти довірений контент через мережу, що відкриває шлях до обману користувачів і використання шкідливих інтерфейсів», – пояснив Майк Волтерс, співзасновник Action1.
За його словами, навіть обмежений прямий вплив на дані не зменшує ризиків, адже можливість маніпулювати тим, що бачить користувач, може стати частиною більш складних атак.
Через активне використання цієї вразливості Агентство з кібербезпеки США CISA додало її до списку Known Exploited Vulnerabilities. Федеральним установам дали дедлайн до 28 квітня 2026 року, щоб встановити оновлення.
Ще одна важлива проблема стосується Microsoft Defender. Вразливість CVE-2026-33825 дозволяє локальному користувачу підвищити привілеї через недоліки в механізмах контролю доступу. При цьому Microsoft зазначає, що Defender оновлюється автоматично, тому в більшості випадків додаткових дій не потрібно.
Ця ж проблема пов’язана з експлойтом BlueHammer, який раніше опублікував дослідник під псевдонімом Chaotic Eclipse. Він використовував механізм Volume Shadow Copy, щоб отримати доступ до системних файлів і підняти привілеї до рівня SYSTEM.
Суть атаки в тому, що під час оновлення Defender створюється тимчасовий знімок системи. Експлойт дозволяє «зловити» момент, коли цей знімок доступний, і отримати доступ до критичних даних, зокрема до бази SAM із хешами паролів. Це дає змогу захопити обліковий запис адміністратора та отримати повний контроль над системою.
Дослідники відзначають, що після випуску патча експлойт більше не працює, хоча деякі його частини все ще викликають питання.
Серед критичних уразливостей також виділяється проблема в службі IKE Windows. Вона дозволяє віддалене виконання коду без авторизації і має оцінку 9.8 за шкалою CVSS. Для атаки достатньо надіслати спеціально сформовані пакети на систему з увімкненим IKEv2.
Це особливо небезпечно для корпоративних середовищ, де активно використовуються VPN або IPsec. Успішна експлуатація може призвести до повного компрометування системи, включно з крадіжкою даних і переміщенням мережею.
«Відсутність необхідності взаємодії з користувачем робить цю вразливість особливо небезпечною для систем, відкритих в інтернет», – зазначив Волтерс.
Загалом цей реліз ще раз показує, наскільки швидко зростає кількість вразливостей і наскільки критичною стає швидкість встановлення оновлень. Для компаній це вже не питання планового обслуговування, а базова умова виживання в сучасному кіберсередовищі.
