Šta se desilo?

Američka agencija CISA je uključila aktivno eksploatisanu ranjivost CVE-2026-58644 u svoj katalog poznatih iskorišćenih pretnji (KEV). Ranjivost pogađa Microsoft SharePoint Server i omogućava napadačima da izvršavaju proizvoljni kod sa visokim nivoima privilegija. Zakrpe su dostupne od 14. jula, ali su već bile iskorišćene u realnim napadima pre nego što su objavljene.

Koga pogađa?

Direktno su ugrožene organizacije koje koriste Microsoft SharePoint Server - verzije Subscription Edition, 2019 i 2016. Posebno su ugrožene vladine agencije i federalne institucije, koje su obavezane da primene zakrpe do 19. jula 2026. Generalno, bilo koja organizacija sa lokalnim SharePoint infrastrukturom dostupnom iz mreže ili interneta je potencijalna meta.

Kako se zaštititi?

  • Odmah instalirajte sve dostupne Microsoft zakrpe i sigurnosne ažuriranja za SharePoint Server
  • Verifikujte da su zakrpe uspešno primenjene pre nego što vratite sisteme u produkciju
  • Omogućite AMSI (Antimalware Scan Interface) za sve SharePoint veb-aplikacije
  • Skenirajte sve SharePoint servere kako biste otkrili znakove kompromitacije, posebno alate za krađe IIS ključeva
  • Postavite detaljno logovanje za detektovanje pokušaja eksploatacije ove ranjivosti
  • Sprečite direktnu izloženost SharePoint servera internetu; ogranički pristup samo na potrebne sisteme
  • Blokirajte spoljašnji pristup SharePoint Central Administration interfejsu
  • Pratite Microsoft preporuke za ojačavanje sigurnosti, uključujući Web.config postavke, portove i servise

Tehnički detalji

CVE-2026-58644 je kritična ranjivost (CVSS 9.8) koja se temelji na neispravnoj deserijalizaciji nepouzdanih podataka. Napadač koji je autentificiran kao Site Owner može da ubaci i izvrši proizvolan kod na SharePoint Server. Ranjivost je dostupna za mrežne napade sa minimalnom kompleksnosti - napadač ne mora da ima dubok znanje sistema niti neki poseban oblik pristupa. Napadi se mogu ponovljivo izvršavati sa istim payloajem. Pored CVE-2026-58644, CISA je na listu aktivnih pretnji dodala još tri SharePoint ranjivosti: CVE-2026-32201, CVE-2026-45659 i CVE-2026-56164, sve sa mogućnostima za daljinsko izvršavanje koda.

Zašto je važno za region

Mnoge trgovinske i vladine institucije u Zapadnom Balkanu koriste Microsoft SharePoint Server za interna dokumenta, kolaboraciju i upravljanje znanjem. Pošto je ova ranjivost aktivno iskorišćavana u divljini, regionalne organizacije su u visokom riziku ako nisu primenile zakrpe. Nisko kompleksne napade može izvršiti čak i manje napredna napadačka grupa, što čini situaciju urgentnom za sve IT timove u regionu.

Preporuka Sajber Radara

Ako vaša organizacija koristi SharePoint Server, proverite da li su zakrpe primenjene odmah. Budite spremni za hitnu primenu ako već nije urađeno - ova ranjivost se trenutno aktivno koristi. Za federalne institucije i kritičnu infrastrukturu: rok je 19. jula.