CVE-2026-56164 та CVE-2026-56155: Дві експлуатовані Microsoft Zero-Days ставлять під загрозу SharePoint і AD FS

CVE-2026-56164 та CVE-2026-56155: Дві експлуатовані Microsoft Zero-Days ставлять під загрозу SharePoint і AD FS

SOC Prime Team
SOC Prime Team linkedin icon Стежити

Add to my AI research

Липневий Patch Tuesday Microsoft 2026 року привернув негайну увагу не лише через його рекордний масштаб, але й через те, що два активно експлуатовані zero-day уразливості вразили деякі з найчутливіших частин корпоративної інфраструктури. CVE-2026-56164 націлений на локальний SharePoint Server і може бути віддалено експлуатований при атаках низької складності, тоді як CVE-2026-56155 націлений на Active Directory Federation Services і дозволяє підвищення привілеїв з низькопривілейованого локального доступу. Разом вони показують, чому захисники не повинні сортувати ризики цього місяця лише за оцінкою.

Уразливість SharePoint є більш нагальною проблемою, що стосується інтернету. За публічними звітами, вона не вимагає ані облікових даних, ані взаємодії з користувачем, що робить її особливо небезпечною для організацій, які досі використовують самостійно розгорнуту версію SharePoint. Уразливість AD FS має вужчий радіус дії, але така ж важлива на практиці, оскільки федеративна інфраструктура знаходиться в центрі корпоративної ідентифікації та довіри. Як тільки атакуючі досягають цього рівня, наслідки можуть поширитися далеко за межі одного вузла.

Аналіз CVE-2026-56164 та CVE-2026-56155

For Аналіз CVE-2026-56164, ключовим моментом є те, що Microsoft і зовнішні звіти обидва описують вразливість як таку, що вже експлуатується в реальних атаках проти локального SharePoint. Це проблема підвищення привілеїв, але на відміну від багатьох подібних вразливостей, вона віддалено експлуатівна і має низьку складність, що робить її значно небезпечною в операційному сенсі, ніж це може здатися з назви.

Поточні деталі щодо CVE-2026-56164 залишаються обмеженими. Microsoft ще не пояснила публічно точний ланцюжок експлойту, відповідального актора чи повну поведінку після компрометації. Ясно те, що вразливість впливає на самостійно розгорнуті SharePoint Server і повинна розглядатися як високопріоритетна подія патчування, особливо оскільки ті ж липневі оновлення також виправляють додаткові вразливості віддаленого виконання коду і обходу безпеки в SharePoint.

Zero-day AD FS має інший профіль. CVE-2026-56155 впливає на Active Directory Federation Services та починається з локальних низьких привілеїв, що робить його більш ймовірно корисним після того, як атакуючий вже отримає якийсь доступ. Тим не менш, AD FS саме той тип інфраструктури ідентифікації, яку хочуть мати атакуючі, як тільки вони потрапляють в мережу, оскільки це знаходиться на шляху аутентифікації для решти середовища.

На момент написання немає загальнодоступного PoC CVE-2026-56164, і немає публічно детальних IOC для CVE-2026-56155 у наданих звітах. Це означає, що захисники повинні зосередитися менше на виявленні на основі сигнатур і більше на зниженні експозиції, розгортанні патчів і перевірці після компрометації систем, які найбільш імовірно будуть зловжиті.

Пом’якшення CVE-2026-56164 та CVE-2026-56155

Рекомендована відповідь Microsoft є простою: негайно виправити обидві вразливості. Для SharePoint, увімкнення AMSI в повному режимі може допомогти послабити атаки, але патчування залишається пріоритетом, оскільки липневі оновлення також закривають додаткові слабкі сторони SharePoint, які атакуючі можуть поєднати. Це означає, що виявлення CVE-2026-56164 менш пов’язане з очікуванням ідеальної телеметрії і більше з підтвердженням, які сервери піддаються, звернуті до інтернету та досі не виправлені.

Для AD FS виправлення входить до складу оновлень Windows і Windows Server, і Microsoft також почала зміцнювати список контролю доступу в контейнері Distributed Key Manager AD FS. На практиці пом’якшення CVE-2026-56155 повинне розглядатися як вправа з патчування та зміцнення рівня ідентифікації.

Для виявлення CVE-2026-56155 команди безпеки мають пріоритетизувати федеративні сервери, підтвердити, що відповідні оновлення застосовано, і перевірити наявність підозрілих змін локальних привілеїв або зловживання інфраструктурою ідентифікації. Те ж саме стосується SharePoint: інвентаризуйте всі локальні сервери, швидко застосуйте патчі та перевірте, чи не виявлено якісь зовні доступні екземпляри ознак незвичного доступу або зловживання після автентифікації з моменту найранішого спостережуваного вікна експлуатації.

ПЕРЕВІРТЕ ДОСТУПНІ ВИЯВЛЕННЯ

Застереження: вміст виявлення може бути недоступним для кожного CVE. Перевірте платформу SOC Prime для актуального покриття. Якщо зараз ви не знаходите відповідних виявлень, будь ласка, перевірте пізніше.

FAQ

Що таке CVE-2026-56164 та CVE-2026-56155 і як вони працюють?

CVE-2026-56164 — це активно експлуатоване підвищення привілеїв уразливості в локальному Microsoft SharePoint Server, яке може бути віддалено експлуатоване в атаках низької складності. CVE-2026-56155 — це активно експлуатоване підвищення привілеїв у Active Directory Federation Services, яке починається з локального низького привілею і може допомогти атакуючим проникнути глибше в інфраструктуру ідентифікації.

Коли вперше були виявлені CVE-2026-56164 та CVE-2026-56155?

Публічні звіти не розкривають дати приватного виявлення будь-якої з проблем. Відомо, що Microsoft публічно випустила виправлення в липні 2026 року і подякувала реагувальникам на інциденти за обидва випадки, що сильно натякає на виявлення під час розслідування реальних атак.

Який вплив CVE-2026-56155 на системи?

Найбільш серйозний вплив CVE-2026-56155 — підвищення привілеїв на хості AD FS, що може бути набагато важливішим, ніж це припускає вимога локального доступу, оскільки AD FS підписує і забезпечує довіру ідентичності по всьому середовищу. У непотрібних руках компрометація цієї ролі може підтримати ширші латеральні переміщення і подальше зловживання.

Чи можуть CVE-2026-56164 та CVE-2026-56155 досі вплинути на мене в 2026 році?

Так. Організації можуть залишатися під загрозою в 2026 році, якщо вони не застосували липневі 2026 оновлення Microsoft, особливо якщо вони експлуатують локальний SharePoint, звернутий до інтернету, або підтримують AD FS сервери, які вже доступні для атакуючих через існуючий доступ.

Як я можу захиститися від CVE-2026-56164 та CVE-2026-56155?

Негайно застосуйте патчі, увімкніть повний режим AMSI на SharePoint як додатковий контроль, розгорніть вбудовані оновлення Windows і Windows Server для AD FS, та перевірте ваші найбільш чутливі системи співпраці та ідентифікації на наявність ознак зловживання після компрометації. У цьому випадку швидкість має більше значення, ніж очікування на повне розголошення експлойту.

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

More Articles