На прошлой неделе стало известно о трех новых уязвимостях нулевого дня в Windows. Обычно термин zero-day применяется в случае, если уязвимость на момент обнаружения используется в реальных атаках, но в данном случае имеет место другая ситуация. Данные о проблемах в открытом доступе опубликовал аноним, называющий себя Nightmare Eclipse. Уязвимости снабжены демонстрационным кодом, который вполне возможно применить для реальных атак, — и это при отсутствии патча от производителя. Отсюда и квалификация zero-day, намеренно созданная человеком, который, судя по его риторике, затаил некую обиду на Microsoft.

Наибольший интерес представляет проблема YellowKey — это ошибка в логике работы системы шифрования BitLocker (подробное описание в издании Ars Technica, новость на Хабре). При наличии физического доступа к компьютеру или ноутбуку YellowKey позволяет полностью обойти шифрование и получить прямой доступ к данным. Эксплойт работает так: нужно записать набор файлов на флешку, подключить ее к компьютеру, загрузить его в режиме Recovery. Дальнейшая последовательность действий открывает консоль, в которой будет предоставлен полный доступ к зашифрованному хранилищу данных.

Принцип взаимодействия «файлов на флешке» и системы BitLocker, приводящий к снятию защиты, пока до конца не понятен. Известно, что эксплойт работает только в отношении Windows 11 и только для систем с дефолтными настройками шифрования, при которых ключи хранятся в модуле TPM. Усилить защиту данных на SSD (на случай, например, кражи устройства) можно путем добавления PIN-кода, который необходим для открытия доступа к ключам в TPM.

Уязвимость GreenPlasma (подробно описана здесь) теоретически позволяет получить в системе максимальные привилегии. В отличие от YellowKey, в данном случае предложенный анонимом Nightmare Eclipse эксплойт является неполным — автор комментирует это в стиле «кто надо, сам догадается, как докрутить». Наконец, 17 мая был опубликован эксплойт MiniPlasma (новость на BleepingComputer и на Хабре) — он эксплуатирует еще одну уязвимость в Windows (точнее, в компоненте cldflt.sys) и также обеспечивает повышение привилегий в системе. Данная уязвимость известна с 2020 года, когда ее обнаружили исследователи из команды Google Project Zero. Работоспособность эксплойта на полностью пропатченной системе указывает на то, что шесть лет назад проблема не была корректно закрыта производителем.

Что еще произошло

На прошлой неделе стало известно об обнаружении уязвимости в ядре macOS с помощью Claude Mythos, а также уязвимости в веб-сервере nginx. Последняя оставалась незамеченной в течение 18 лет, хотя опасность от нее скорее теоретическая: в список требований для эксплуатации входит отключение базовой защитной системы ASLR.

Ссылаясь на работу американских исследователей, издание The Register пишет о том, что автоматизированное создание полноценных инструментов для кибератак больше не является фантастикой. Соответственно, растет опасность, что информация о серьезных проблемах в ПО будет задействована не только для разработки патчей. Отчасти подтверждением этому наблюдению служит недавнее сообщение команды Google Threat Intelligence Group: они обнаружили «в полях», вероятно, первый эксплойт, полностью разработанный с использованием ИИ.

Исследователи «Лаборатории Касперского» обсуждают тенденции в развитии вредоносных программ-вымогателей. Такие вредоносные программы обычно называют шифровальщиками, но одним из интересных трендов, подсвечиваемых этой публикацией, является отказ от шифрования данных: злоумышленники сразу переходят к требованию выкупа, угрожая опубликовать похищенную информацию. Количество атак со стороны вымогателей «в штуках» постепенно снижается, но при этом растет качество, а также применяются новые инструменты — например, постквантовая криптография. Также эксперты «Лаборатории Касперского» опубликовали традиционные отчеты по эволюции киберугроз за первый квартал 2026 года, со статистикой по ПК и мобильным устройствам.

14 мая был обнаружен новый вариант уязвимости Dirty Frag в ядре Linux, известный под кодовым именем Fragnesia. Проблема, также приводящая к локальной эскалации привилегий, получила собственный идентификатор CVE-2026-46300.

В Android появится функция Intrusion Logging, призванная облегчить сбор данных для исследования сложных кибератак. Это часть набора фич Advanced Protection Mode — специального режима работы ОС, усиливающего защиту пользователей, находящихся в группе риска.

Microsoft обновит браузер Microsoft Edge и изменит метод работы с сохраненными в браузере паролями. Как выяснилось недавно, Edge хранит все сохраненные пароли в оперативной памяти, откуда их достаточно легко похитить.

Уязвимость нулевого дня обнаружена в почтовом сервере Microsoft Exchange. Еще одна критическая проблема обнаружена в опенсорсном мейлере Exim.