Najnowsze aktualizacje Microsoftu, opublikowane w ramach Patch Tuesday, naprawiają aż 165 podatności, w tym lukę typu zero-day w SharePoint, która była już wykorzystywana w rzeczywistych atakach.
Podatność w SharePoint Server została oznaczona numerem CVE-2026-32201 i opisana jako problem typu spoofing (podszywanie się). Microsoft nadał jej poziom ważności „important” (istotny) oraz wynik CVSS 6,5.
„Nieprawidłowa walidacja danych wejściowych w Microsoft Office SharePoint umożliwia nieautoryzowanemu atakującemu przeprowadzenie ataku typu spoofing przez sieć” – poinformowali specjaliści Microsoftu, zaznaczając, iż atakujący może wykorzystać tę lukę do uzyskania dostępu do wrażliwych informacji i ich modyfikacji.
Czym jest spoofing?
Spoofing to technika, w której atakujący podszywa się pod coś lub kogoś zaufanego, żeby oszukać system albo użytkownika. Tłumacząc najprościej, udaje się kogoś innego, żeby zdobyć dostęp lub informacje. Atakujący zmienia (fałszuje) dane identyfikujące, np. e-maila, adres IP, stronę www lub tożsamość.
Jakie są przykłady spoofingu?
- e-mail spoofing – dostajesz maila, który wygląda jak od banku, ale jest fałszywy
- IP spoofing – atakujący udaje inny komputer w sieci
- website spoofing – fałszywa witryna wygląda identycznie jak prawdziwa (np. strona logowania)
- caller ID spoofing – ktoś dzwoni, a numer wygląda jak oficjalny
Jak wygląda wykorzystanie luki zero day?
Do publicznej informacji przedostało się bardzo mało wiadomości. Nie wiadomo, kto stoi za atakami wykorzystującymi lukę zero-day ani jakie są jego motywy. W tej chwili nie ma dostępnych informacji na ten temat, a Microsoft nie ujawnił nawet, kto zgłosił podatność.
Na podstawie krótkiego opisu dostawcy możliwe jednak, iż CVE-2026-32201 jest wykorzystywana w połączeniu z innymi słabościami systemu.
Usuwanie podatności na dużą skalę
Luki w SharePoint często są wykorzystywane w rzeczywistych atakach. Katalog Known Exploited Vulnerabilities (KEV) prowadzony przez CISA zawiera w tej chwili 10 podatności związanych z SharePoint.
CVE-2026-32201 została już dodana do listy KEV CISA, a agencjom federalnym w Stanach Zjednoczonych nakazano zastosowanie poprawek do 28 kwietnia.
Spośród pozostałych podatności naprawionych przez Microsoft w aktualizacjach z kwietnia 2026, 19 otrzymało ocenę „większe prawdopodobieństwo wykorzystania”, co oznacza, iż mogą zostać użyte w przyszłych atakach.
Jedną z nich jest CVE-2026-33825 – luka umożliwiająca eskalację uprawnień w Microsoft Defender, która – jak podaje Microsoft – została ujawniona jeszcze przed wydaniem poprawek. Uważa się, iż to podatność znana jako BlueHammer, którą niedawno upublicznił niezadowolony badacz.
Luki bezpieczeństwa w komponentach systemu Windows, takich jak Boot Loader, Active Directory, Remote Desktop, Hello, Storage Space Controllers, Search, TDI Translation Driver, BitLocker, Management Console, TCP/IP, Common Log File System Driver, UPnP Device Host, COM, Shell, Function Discovery Service oraz Desktop Window Manager, również mają większe szanse na wykorzystanie w przyszłości.
Satnam Narang, starszy inżynier ds. badań w firmie Tenable, powiedział, iż jest to drugi największy Patch Tuesday w historii, kilka ustępujący rekordowi z października 2025 roku.
