Киберугрозы/инциденты

Июльский дайджест трендовых уязвимостей

По итогам анализа, проведенного экспертами Positive Technologies, мы анонсируем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
 

  • Кроме этого, не стоит забывать и об устранении других уязвимостей, которые не были описаны в наших дайджестах. Их эксплуатация также может нанести непоправимый вред организации. 
     

Всего в июле к трендовым была отнесена одна уязвимость – PT-2026-40978 (CVE-2026-42897). Это XSS-уязвимость в Outlook Web Access (OWA)1, позволяющая атакующему выполнить произвольный JavaScript-код в контексте браузера пользователя при открытии жертвой вредоносного письма.

Подробнее об этой уязвимости, случаях ее эксплуатации и способе устранения читайте в дайджесте.

1 Outlook Web Access – это веб-клиент к MS Exchange Server, позволяющий получить доступ к корпоративной почте через браузер.

XSS-уязвимость в Microsoft Exchange Server

PT-2026-40978 (CVE-2026-42897, оценка по CVSS — 8,1; высокий уровень опасности)

Уязвимость связана с некорректной обработкой пользовательского ввода при генерации веб‑страниц (XSS-уязвимость, CWE-79) в Outlook Web Access (OWA) и позволяет злоумышленнику выполнить вредоносный JavaScript-код в контексте браузера пользователя. 

Для эксплуатации уязвимости атакующему достаточно отправить специально сформированное письмо и вынудить жертву открыть его через OWA. В результате злоумышленник может получить контроль над почтовым ящиком в рамках активной сессии и прав пользователя. Это может позволить атакующему украсть конфиденциальные данные, а также выполнять действия от имени пользователя в веб-интерфейсе Exchange.

Bleeping Computer отмечает, что за последние пять лет агентство CISA добавило 20 уязвимостей в Microsoft Exchange Server в каталог KEV, при этом 14 из них были использованы группировками, занимающимися вымогательством. 

На момент раскрытия информации об уязвимости 14 мая 2026 года Microsoft не опубликовала полноценного исправления, предоставив лишь временные меры защиты через службу Exchange Emergency Mitigation (EM) и скрипт Exchange on-premises Mitigation Tool (EOMT). Важно отметить, что применение этих мер могло вызвать ряд проблем, связанных с ошибками печати календаря и отображения встроенных изображений в OWA. Обновление было выпущено вендором спустя практически месяц, 9 июня. 

Признаки эксплуатации: Microsoft предупредила, что уязвимость уже использовалась в реальных атаках. CISA добавило уязвимость в каталог KEV. 

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Количество потенциальных жертв: уязвимость затрагивает актуальные версии Exchange Server 2016, Exchange Server 2019 и Exchange Server Subscription Edition (SE). 

Способ устранения уязвимости: установить обновление безопасности, которое представлено на официальных страницах Microsoft. Также компания рекомендует оставить введенные ранее компенсирующие меры. 
Стоит отметить, что серверы Exchange Server 2016 и 2019, поддержка которых уже прекращена, остаются уязвимыми. Получить официальные обновления безопасности Microsoft, выпущенные в период с мая по октябрь 2026 года, смогут только клиенты, оформившие подписку на программу расширенной поддержки Period 2 Extended Security Update (ESU). 
 

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости наиболее опасны и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице «Трендовые уязвимости» и на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.