Rekordowy Patch Tuesday i aktywnie eksploatowany zero-day
14 kwietnia 2026 roku Microsoft opublikował drugi pod względem wielkości zestaw poprawek bezpieczeństwa w swojej historii — łącznie 167 błędów, w tym dwie podatności zero-day. Najgroźniejszą z nich jest CVE-2026-32201, luka typu spoofing w Microsoft SharePoint Server, która w momencie ujawnienia była już aktywnie wykorzystywana w atakach w środowisku produkcyjnym. Microsoft potwierdził istnienie działającego kodu exploitu, więc każda organizacja korzystająca z lokalnych wdrożeń SharePointa powinna potraktować tę aktualizację jako krytyczną.
Czym właściwie jest ta podatność
CVE-2026-32201 to luka wynikająca z niewłaściwej walidacji danych wejściowych (CWE-20) w komponencie SharePoint. Wynik CVSSv3 to 6.5, ale nie dajmy się zwieść — ocena ta nie oddaje w pełni realnego ryzyka, ponieważ atak jest możliwy zdalnie, przez sieć, bez żadnego uwierzytelnienia i bez interakcji użytkownika. Atakujący o niskim poziomie zaawansowania może więc wysłać odpowiednio spreparowane żądanie i podszyć się pod inny podmiot w ramach serwera SharePoint.
Skutki udanego ataku obejmują wgląd w poufne informacje oraz możliwość modyfikacji ujawnionych danych. W kontekście SharePointa, który w wielu polskich firmach pełni rolę intranetu, platformy dokumentacyjnej i repozytorium wewnętrznej wiedzy, oznacza to realne ryzyko wycieku ofert handlowych, umów, dokumentacji projektowej czy danych kadrowych.
Które wersje są podatne
Microsoft wydał poprawki dla trzech linii produktu: SharePoint Server 2016, SharePoint Server 2019 oraz SharePoint Server Subscription Edition. Wszystkie wersje on-premise należy zaktualizować niezwłocznie. Administratorzy korzystający z SharePoint Online w ramach Microsoft 365 nie muszą podejmować działań — tam poprawki zostały wdrożone po stronie chmury.
W tym samym wydaniu załatano również drugi zero-day dotyczący protokołu Remote Desktop (RDP) oraz krytyczną lukę CVE-2026-33824 (CVSS 9.8) w usłudze Windows IKE Extensions, możliwą do wykorzystania zdalnie przez niezalogowanego atakującego.
Co powinni zrobić administratorzy
Jeśli w Twojej organizacji działa lokalny SharePoint, potraktuj CVE-2026-32201 priorytetowo. Oto kluczowe kroki:
- Zainstaluj natychmiast kwietniowe poprawki dla odpowiedniej wersji SharePointa — nie czekaj na okno serwisowe.
- Przejrzyj logi serwera IIS i SharePointa z ostatnich dni pod kątem nietypowych żądań oraz prób uwierzytelnienia z nieznanych adresów IP.
- Sprawdź, czy w systemie nie pojawiły się nowe konta administracyjne lub nieautoryzowane zmiany uprawnień w witrynach.
- Ogranicz dostęp do interfejsu SharePointa z publicznego internetu — jeśli to możliwe, wystawiaj go tylko przez VPN lub Web Application Firewall.
- Włącz dodatkowy monitoring — rozwiązania EDR i SIEM powinny być skonfigurowane tak, by alarmować o nietypowej aktywności wokół portów SharePointa.
Wnioski
Kwietniowy Patch Tuesday przypomina, że oprogramowanie klasy enterprise, nawet szeroko stosowane i dobrze udokumentowane, wciąż bywa źródłem krytycznych podatności. Ataki typu spoofing bez uwierzytelnienia są szczególnie niebezpieczne, bo omijają podstawowe mechanizmy kontroli dostępu i trudno je wykryć na podstawie samych prób logowania. Regularna, szybka instalacja poprawek oraz aktywny monitoring środowiska pozostają najlepszą obroną — zwłaszcza w przypadku usług wystawionych do internetu.