Хабр, привет!
На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили еще 4 трендовые уязвимости, все из февральского Microsoft Patch Tuesday:
уязвимость, приводящая к удаленному выполнению кода, в Windows Shell - PT-2026-7396 (CVE-2026-21510);
уязвимость, приводящая к удаленному выполнению кода, в Microsoft Word - PT-2026-7400 (CVE-2026-21514);
уязвимость, связанная с повышением привилегий, в Desktop Window Manager - PT-2026-7404 (CVE-2026-21519);
уязвимость, связанная с повышением привилегий, в cлужбах удаленного рабочего стола - PT-2026-7412 (CVE-2026-21533).
Начнём с двух уязвимостей, которые Microsoft классифицировали как Security Feature Bypass, однако, учитывая, что эксплуатация таких уязвимостей приводит к выполнению произвольного кода, выглядит правильным классифицировать их как Remote Code Execution.
Уязвимость, приводящая к удаленному выполнению кода, в Windows Shell
💥 PT-2026-7396 (CVE-2026-21510, оценка по CVSS — 8,8; высокий уровень опасности)
Windows Shell — это основной интерфейс, через который пользователи взаимодействуют с ОС Windows. Он включает такие видимые элементы, как Рабочий стол (Desktop), Панель задач (Taskbar) и меню «Пуск» (Start Menu). Некорректная работа защитных механизмов (CWE-693) позволяет злоумышленнику выполнить произвольный код на системе в обход механизма Windows SmartScreen и предупреждений Windows Shell. Для эксплуатации уязвимости злоумышленнику необходимо убедить пользователя открыть специально созданный файл-ярлык (.LNK) или перейти по вредоносной ссылке.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. CISA также добавило уязвимость в каталог KEV как активно эксплуатируемую.
Уязвимость, приводящая к удаленному выполнению кода, в Microsoft Word
💥 PT-2026-7400 (CVE-2026-21514, оценка по CVSS — 7,8; высокий уровень опасности)
Использование недоверенных входных данных при принятии решения, связанного с безопасностью (CWE-807), в Microsoft Office Word позволяет неавторизованному злоумышленнику обойти функции безопасности OLE при открытии пользователем зловредного файла. Уязвимость НЕ эксплуатируется при просмотре через Preview Pane.
Признаки эксплуатации: Microsoft отмечает факт эксплуатации уязвимости. CISA также добавило данную уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: нет в открытом доступе.
Закончим двумя уязвимостями повышения привилегий в стандартных компонентах Windows.
Уязвимость, связанная с повышением привилегий, в Desktop Window Manager
💥 PT-2026-7404 (CVE-2026-21519, оценка по CVSS — 7,8; высокий уровень опасности)
Desktop Window Manager — это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. Ошибка Type Confusion (CWE-843) в Desktop Window Manager позволяет авторизованному злоумышленнику локально повысить привилегии до уровня SYSTEM. Устраняя эту уязвимость, Microsoft, с высокой вероятностью, противодействовала тому же злоумышленнику, который эксплуатировал январскую уязвимость Information Disclosure (CVE-2026-20805) в том же компоненте. Возможно, первоначальное исправление не устранило проблему полностью.
Признаки эксплуатации: Microsoft предупредила, что уязвимость уже используется в реальных атаках. CISA также добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: нет в открытом доступе.
Уязвимость, связанная с повышением привилегий, в cлужбах удаленного рабочего стола
💥 PT-2026-7412 (CVE-2026-21533, оценка по CVSS — 7,8; высокий уровень опасности)
Remote Desktop Services (RDS) — это один из компонентов Microsoft Windows, который позволяет пользователю инициировать и управлять интерактивной сессией на удалённом компьютере или виртуальной машине через сетевое соединение с использованием протокола Remote Desktop Protocol (RDP). Неправильное управление привилегиями (CWE-269) в Windows Remote Desktop позволяет локальному злоумышленнику получить привилегии SYSTEM. По сообщению CrowdStrike, бинарный эксплойт изменяет ключ конфигурации службы ("service configuration key"), позволяя злоумышленнику повысить привилегии и добавить пользователя в группу Administrators.
Недавно на одном из теневых форумов появилось объявление о продаже эксплойта к данной уязвимости. Запрашиваемая цена составляет 220 тысяч долларов.
Признаки эксплуатации: исследователи CrowdStrike обнаружили использование эксплойта в атаках на организации в США и Канаде до публичного раскрытия информации об уязвимости. Компания полагает, что официальное сообщение Microsoft о проблеме вероятно побудит злоумышленников и брокеров, обладающих эксплойтом, использовать или монетизировать его в ближайшем будущем. Microsoft также отмечает факты эксплуатации уязвимости. Кроме того, CVE-2026-21533 была добавлена в каталог CISA KEV.
Публично доступные эксплойты: нет в открытом доступе.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft — CVE-2026-21519, CVE-2026-21533, CVE-2026-21510 и CVE-2026-21514.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации.
Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
На этом всё. До встречи в новом дайджесте трендовых уязвимостей через месяц.
Александр Леонов
Ведущий эксперт PT Expert Security Center
