В фокусе RVD: трендовые уязвимости марта

Хабр, привет!

На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в марте, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности.

В дайджест попали: 

• CVE‑2026‑25187 - Windows Winlogon

• CVE-2026-23669 - Windows Print Spooler

• CVE-2026-24291 - Windows Accessibility Infrastructure

• CVE-2026-3888 - Snapd

• BDU:2026-02404 - PHP

CVE‑2026‑25187 | BDU:2026-03036: Уязвимость повышения привилегий в Windows Winlogon

Уровень критичности по оценке CVSS: 7.8

Вектор атаки: локальный

Подтверждение вендора:

• Microsoft

Информация об эксплуатации

Описание уязвимости:

Уязвимость повышения привилегий в системном процессе Windows Winlogon (winlogon.exe), отвечающем за управление аутентификацией пользователей, а также за безопасный вход и выход из системы.

При выполнении файловых операций процесс winlogon.exe не проверяет, является ли целевой путь символической ссылкой (symlink) или точкой соединения (junction point), которые могут указывать на произвольный ресурс файловой системы. Локальный пользователь с низкими привилегиями может создать вредоносную символическую ссылку, перенаправляющую файловую операцию привилегированного процесса winlogon.exe на защищённый системный ресурс.

Поскольку операция выполняется в контексте SYSTEM, атакующий получает возможность перезаписать или модифицировать критически важные системные файлы, что приводит к повышению привилегий до уровня SYSTEM.

Уязвимость была обнаружена исследователем Джеймсом Форшоу из команды Google Project Zero.

Статус эксплуатации уязвимости:

На момент анализа подтверждённых случаев эксплуатации уязвимости в реальных атаках не зафиксировано.

Microsoft присвоила уязвимости оценку "Exploitation More Likely" по индексу эксплуатируемости, что указывает на повышенную вероятность появления эксплойта.

Возможные негативные сценарии:

Локальное повышение привилегий до уровня SYSTEM позволяет атакующему полностью скомпрометировать хост, установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным.

Рекомендации по устранению

Вендор  выпустил обновление безопасности 10 марта 2026 года. Рекомендуется как можно скорее установить обновление на все затронутые версии Windows.

CVE-2026-23669 | BDU:2026-03000: Уязвимость удаленного выполнения произвольного кода в Windows Print Spooler

Уровень критичности по оценке CVSS: 8.8

Вектор атаки: сетевой

Подтверждение вендора:

• Microsoft

Информация об эксплуатации

Описание уязвимости:

Уязвимость удалённого выполнения кода в компонентах службы диспетчера печати Windows (Windows Print Spooler, процесс spoolsv.exe). 

При обработке специально сформированных сетевых сообщений служба печати некорректно освобождает объект в памяти, вследствие чего ссылка на него продолжает использоваться. Аутентифицированный атакующий, контролируя момент выделения и освобождения памяти, может добиться выполнения произвольного кода в процессе службы Print Spooler. 

Сама служба выполняется в контексте NT AUTHORITY\SYSTEM и по умолчанию включена на всех версиях Windows, включая серверные. В случае успешной эксплуатации злоумышленник получает возможность выполнять произвольный код с соответствующими привилегиями. Для эксплуатации достаточно учётной записи с низкими привилегиями (например, любой доменной учётной записи). 

Статус эксплуатации уязвимости:

Дастин Чайлдс, руководитель отдела анализа угроз Trend Micro Zero Day Initiative, отметил, что данная уязвимость эксплуатируется аналогично PrintNightmare (CVE-2021-34527) и рекомендовал развернуть патч в приоритетном порядке.

На момент анализа подтверждённых случаев эксплуатации уязвимости в реальных атаках не зафиксировано, однако, это создает риск аналогичных сценариев атак.

Публикаций PoC-эксплойтов в открытом доступе не обнаружено.

Возможные негативные сценарии:

Злоумышленники могут использовать эту уязвимость для удаленного запуска вредоносного кода, закрепления в системе и дальнейшего продвижения внутри сети, что может привести к компрометации конфиденциальных данных.

Рекомендации по устранению

10 марта 2026 года вендор выпустил обновление безопасности. Рекомендуется как можно скорее установить обновление на все затронутые версии Windows.

Специалисты SentinelOne и Mesut Özsoy советуют не ограничиваться установкой обновлений. Для повышения уровня защиты рекомендуется ограничить доступ к службе печати из недоверенных сетей (в том числе на уровне сетевых портов и политик безопасности), отключить службу Диспетчера очереди печати на всех серверах, где печать не требуется, особенно на контроллерах домена и критически важных серверах баз данных, а также придерживаться принципа минимальных привилегий. Это позволит существенно снизить риск эксплуатации и минимизировать возможный ущерб в случае успешной атаки.

CVE-2026-24291 | BDU:2026-03020: Уязвимость повышения привилегий в Windows Accessibility Infrastructure (ATBroker.exe)

Уровень критичности по оценке CVSS: 7.8

Вектор атаки: локальный

Подтверждение вендора:

• Microsoft

Информация об эксплуатации

Описание уязвимости:

Уязвимость находится в компоненте ATBroker.exe, который отвечает за Windows Accessibility features (Специальные возможности Windows). Это набор встроенных возможностей Microsoft Windows, предназначенных для того, чтобы сделать операционную систему удобной для людей с ограниченными возможностями или с особыми потребностями в удобстве использования. Эти функции предоставляют альтернативные способы взаимодействия с системой с помощью ввода с экранной клавиатуры, голоса, визуальных настроек и вспомогательных технологий.

Специальные возможности Windows, такие, как экранная клавиатура (OSK), по умолчанию отключены, но активировать их может любая учётная запись, включая стандартные. При их включении конфигурации настроек специальных возможностей записываются в следующие ключи реестра:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATConfig\<accessibility feature name>
# accessibility feature name зависит от того, какая специальная возможность активна

Вносить изменения в значения этих ключей могут непривилегированные пользователи.

Как выяснили исследователи из MDSec, если создать сеанс защищенного рабочего стола (Secure Desktop), например заблокировав рабочий стол, начинают работать два экземпляра процесса ATBroker.exe. Первый изначальный процесс работает с привилегиями текущего пользователя, а второй создается при запуске защищенного рабочего стола и работает от имени SYSTEM. При этом в сеансе защищенного стола продолжается обмен и перезапись ключей реестра, связанных со специальными возможностями Windows, между двумя экземплярами процесса ATBroker.exe. Это позволяет злоумышленникам управлять значениями реестра в привилегированном процессе, через последовательность операций, связанных с символическими ссылками в реестре и оппортунистическими блокировками. В результате можно перезаписать значение любого произвольного ключа реестра в системе.

Возможность перезаписать любой ключ реестра в системе критична для безопасности системы. Например, для выполнения кода с повышенными привилегиями можно перезаписать путь, который устанавливается с помощью специального ключа реестра, до исполняемого файла службы Windows Installer. Данная служба работает с правами SYSTEM, но доступна для запуска обычным пользователем.

Статус эксплуатации уязвимости:

На момент анализа подтверждённых случаев эксплуатации уязвимости в реальных атаках не зафиксировано. В публичном доступе есть рабочее доказательство концепции (PoC).

Возможные негативные сценарии:

Успешная эксплуатация уязвимости позволяет перезаписывать произвольное значение в реестре Windows и с её помощью повысить привилегии до SYSTEM.

Рекомендации по устранению

Вендор 10 марта 2026 года выпустил обновление безопасности, рекомендуется как можно скорее установить обновление на все затронутые версии Windows.

CVE-2026-3888 | BDU:2026-03419: Уязвимость повышения привилегий в службе snapd (Ubuntu и Debian)

Уровень критичности по оценке CVSS: 7.8

Вектор атаки: локальный

Подтверждение вендора:

• Ubuntu

• Debian

Информация об эксплуатации

Описание уязвимости:

Уязвимость связана с системными компонентами: snap-confine и systemd-tmpfiles.

Эксплуатация уязвимости возможна при следующих условиях:

• Первоначальный, минимальный доступ к уязвимой системе.

• Необходимо выжидать и наблюдать за директорией /tmp до тех пор, пока в ней не произойдет запланированная очистка временных файлов, связанных со Snap-приложениями, при помощи systemd-tmpfiles.

Из-за отсутствия должной проверки целостности директории Snap-приложений в snap-confine при таких условиях, нарушитель способен пересоздать удаленную при помощи systemd-tmpfiles директорию Snap-приложения. После чего при помощи утилиты snapd, использующей snap-confine для создания среды Snap-приложения, нарушитель способен запустить собственные вредоносные файлы, помещенные в повторно созданную директорию. Из-за того, что snap-confine запускается с setuid root, нарушитель способен выполнить вредоносные действия с root правами.

Примечание: по умолчанию ко всем файлам и каталогам, хранящимся в /tmp директории, systemd-tmpfiles применяет концепцию "старения". Срок "старения" в Ubuntu 24.04 LTS и в версиях младше составляет 30 дней, в Ubuntu 25.10 и в версиях старше - 10 дней. В Debian 12 и 13 - 10 дней.

Схема проведения атаки с эксплуатацией данной уязвимости может выглядеть следующим образом:

Статус эксплуатации уязвимости:

На момент анализа подтверждённых случаев эксплуатации уязвимости в реальных атаках не зафиксировано. В публичном доступе есть рабочее доказательство концепции (PoC).

Возможные негативные сценарии:

Локальное повышение привилегий до уровня root позволяет атакующему полностью скомпрометировать хост, установить бэкдоры, отключить средства защиты и получить доступ к конфиденциальным данным.

Рекомендации по устранению:

Для Ubuntu 17 марта 2026 года выпущены обновления snapd, устраняющие данную уязвимость. 

Для Debian 20 марта 2026 года выпущены обновления snapd, устраняющие данную уязвимость.

BDU:2026-02404: Уязвимость нарушения изоляции песочницы в PHP

Уровень критичности по оценке CVSS: 9.3

Вектор атаки: локальный

Информация об эксплуатации

Описание уязвимости:

Уязвимость относится к типу Use After Free и позволяет обойти механизм disable_functions в PHP и вызвать команды операционной системы с использованием специально сформированного объекта DateInterval. Это довольно важный механизм безопасности, настраиваемый в файле конфигурации php.ini, который позволяет ограничить выполнение пользователем или приложением таких небезопасных функций в PHP такие, как exec() или system(). Их использование на PHP веб-приложениях ограничивают, потому что возможность их активации может привести выполнению команд ОС на хосте.

Для эксплуатации этой уязвимости необходимо найти точку входа, где злоумышленник может передать полезную нагрузку в виде команд PHP и она будет выполняться веб-приложением. В случае нахождения такой точки атакующие смогут выполнять вредоносные скрипты и загрузку обратных оболочек (reverse shell), которые были бы затруднены или невозможны при прописанных директивах disable_functions

По данным Shodan в России находится около 32 тысяч ресурсов, работающих на PHP.  На практике таких ресурсов больше. К ним также относятся веб-ресурсы, работающие на Wordpress.  Потенциально уязвимыми являются  веб-приложения на PHP восьмой версии.

Необходимо отметить, что уязвимость до сих не исправлена вендором и для нее отсутствует идентификатор CVE. На момент анализа она была занесена в БДУ ФСТЭК. Уязвимыми являются версии PHP 8.2.x , 8.3.x, 8.4.x, 8.5.x. на unix-подобных системах.

Статус эксплуатации уязвимости:

На момент анализа подтверждённых случаев эксплуатации уязвимости в реальных атаках не зафиксировано. Уязвимость была найдена исследователем m0x41nos 28 февраля 2026 года, который также подготовил доказательство концепции (PoC).

Возможные негативные сценарии:

В случае успешной эксплуатации уязвимости,возможна компрометация хоста.

Рекомендации по устранению

На текущий момент вендор не выпустил исправление для этой уязвимости. В качестве компенсирующих мер можно воспользоваться следующими рекомендациями:

• Запуск интерпретатора PHP в изолированном окружении с минимальными привилегиями;

• Использование отдельных пулов в PHP-FPM для разных пользователей.

Как защититься?

В приоритете находится не только своевременное выявление уязвимостей, но и регулярный контроль состояния используемого ПО, сервисов и компонентов ИТ-инфраструктуры, а также их своевременное обновление.

Практика и результаты наших исследований показывают, что для организаций важно не просто фиксировать уязвимости, а иметь актуальное представление о состоянии инфраструктуры. Это позволяет корректно расставлять приоритеты и контролировать процесс их устранения. Для этого используются решения класса Vulnerability Management (например, R-Vision VM), обеспечивающие непрерывную работу с уязвимостями - от обнаружения до контроля устранения.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.